bleryana/splunk-threat-hunting-projects

# 🔍 Splunk 威胁狩猎项目 – Windows 事件日志分析 ## 📌 概述 本项目演示了使用 Splunk Enterprise 进行实战威胁狩猎和日志分析。目标是在 Windows 环境中识别身份验证异常、评估系统活动并评估日志可见性。 --- ## 🛠️ 工具与技术 * Splunk Enterprise * Windows 事件日志 (Security & System) * PowerShell * 虚拟化实验环境 --- ## 🔎 威胁狩猎场景 ### 1. 失败登录分析 * 查询: * 分析: * 识别了与单个账户相关的失败身份验证尝试。 * 低频率表明这是正常用户行为，而非暴力破解活动。 * 安全洞察: * 监控身份验证模式对于检测凭据攻击至关重要。 --- ### 2. PowerShell 活动评估 * 查询: * 分析: * 未观察到与 PowerShell 相关的日志。 * 安全洞察: * 表明命令行和脚本执行监控存在可见性缺口。 * PowerShell 在后渗透场景中常被滥用。 --- ### 3. 进程可见性评估 * 查询: * 分析: * 仅系统级别事件可用；没有详细的进程创建日志。 * 安全洞察: * 缺乏进程遥测数据限制了对恶意执行的检测。 --- ## ⚠️ 关键发现 * 身份验证日志可用且有助于检测登录异常。 * PowerShell 和进程级别的日志记录未启用。 * 端点监控存在显著的可见性缺口。 --- ## 🧠 分析师心得 * 有效的威胁检测取决于日志覆盖范围和数据质量。 * Windows Security 日志提供了身份验证可见性，但仅靠它是不够的。 * 高级威胁狩猎需要增强的遥测技术（Sysmon, PowerShell logging）。 --- ## 🔧 建议 * 启用 PowerShell 日志记录（Script Block Logging, Module Logging） * 部署 Sysmon 以获取进程创建和命令行可见性 * 配置针对过多失败登录尝试的告警 * 构建 Splunk 仪表板以进行持续监控 --- ## 📸 证据 请参阅 `screenshots/` 目录以获取支持性分析。 --- ## 👤 作者 David Sama 网络安全分析师 | 威胁狩猎 | SIEM | SOC 运营

标签：AI合规, Conpot, Event ID 4625, PowerShell监控, Windows事件日志, Windows安全, 凭据攻击, 安全运营, 实验环境, 扫描框架, 数据可见性, 日志可视化, 登录失败分析, 网络安全, 认证异常检测, 进程创建审计, 隐私保护