krishnapatelcs/enterprise-threat-hunting-splunk

# 使用 Splunk SIEM 进行企业威胁猎捕与检测工程 ## 📖 执行摘要 本项目展示了使用 Splunk SIEM 设计和实现企业级威胁猎捕与检测工程实验室的过程。其目标是通过利用集中式日志分析、自定义检测规则以及映射到 MITRE ATT&CK 框架的假设驱动型猎捕技术，主动识别对手行为。 该实验室在受控环境中模拟了现实世界的攻击场景，包括暴力破解尝试、PowerShell 滥用、权限提升和横向移动。 ## 🏗 实验室架构 **环境设置：** - macOS 主机系统 - Windows 10 虚拟机（日志源） - Kali Linux 虚拟机（攻击模拟） - Splunk Enterprise SIEM - Sysmon（用于增强 Windows 遥测） **采集的日志源：** - Windows 安全事件日志 - Sysmon 操作日志 - PowerShell 日志 - 身份验证日志 日志被转发到 Splunk 进行集中监控和分析。 ## 🎯 威胁猎捕目标 以下对抗技术被建模和检测： | 技术 | MITRE ATT&CK ID | 检测策略 | |------------|----------------|-------------------| | 暴力破解 | T1110 | 基于阈值的失败登录检测 | | PowerShell 滥用 | T1059.001 | 编码命令行参数检测 | | 通过注册表维持权限 | T1547 | 监控注册表运行键修改 | | 横向移动 | T1021 | 检测异常远程身份验证尝试 | ## 🛠 工具与技术 - Splunk Enterprise SIEM - Sysmon (Windows System Monitoring) - Windows Event Logging - Kali Linux (Attack Simulation) - MITRE ATT&CK Framework ## 🔍 检测工程 开发了自定义 SPL 查询以检测可疑活动，包括： - 定义时间窗口内过多的失败登录尝试 - 带有编码 Payload 的可疑 PowerShell 执行 - 创建新的本地管理账户 - 异常的父子进程关系 - 连接到罕见外部 IP 地址的网络连接 每条检测规则都通过受控攻击模拟进行了验证，并进行了调整以最大限度地减少误报。 ## 🧠 威胁猎捕方法论 采用了假设驱动的猎捕方法： 1. 定义对手行为假设。 2. 将行为映射到 MITRE ATT&CK 技术。 3. 查询相关日志源。 4. 分析异常和模式。 5. 根据发现调整检测逻辑。 这种主动猎捕方法增强了检测覆盖范围，超越了被动警报监控。 ## 📊 仪表板与监控 创建了自定义 Splunk 仪表板以可视化： - 身份验证失败趋势 - 可疑进程执行 - 管理账户活动 - 源 IP 分布 - 模拟攻击活动时间线 ## 🧪 攻击模拟与验证 从 Kali Linux 进行了受控模拟以验证检测逻辑，包括： - 暴力破解登录尝试 - 远程身份验证尝试 - PowerShell 命令执行 - 注册表修改测试 所有检测均针对生成的日志进行了验证，以确保准确性和可靠性。 ## 📈 关键成果 - 设计了 6 条以上的自定义检测规则 - 成功将检测映射到 MITRE ATT&CK 技术 - 通过阈值调整减少了误报 - 开发了分析师级别的威胁猎捕查询 - 构建了实时安全监控仪表板 ## 🔐 结论 本项目展示了在模拟企业环境中的检测工程、SIEM 配置、威胁猎捕和事件分析方面的实践经验。该实施体现了符合网络安全分析师职责的主动和分析方法。

标签：AI合规, Cloudflare, EDR, meg, MITRE ATT&CK, OpenCanary, PE 加载器, RFI远程文件包含, Sysmon, Windows 安全, 企业安全, 信息安全, 合规监控, 安全运营, 实验环境, 扫描框架, 攻击模拟, 网络安全, 网络资产管理, 脆弱性评估, 隐私保护, 驱动签名利用