David-s9/Threat-Hunting-with-Splunk

# 使用 Splunk 进行威胁狩猎 在开始针对你网络中的威胁进行狩猎之前，你必须首先了解操作环境。你可以按照我在 Splunk 中使用的类似流程，参考这份实验记录来进行！ - 了解你的操作环境： - 此过程的第一步是打开 Splunk，并在 Search & Reporting 应用程序中输入以下 SPL，以查看我当前的数据 sourcetypes，并按总数 (totalCount) 进行排序。 - `` - 出现了如下所示的窗口。（点击放大）  - 根据显示的内容，我对我的网络环境了解了什么？  - 我看到 Amazon Web Service (AWS) 存在，这意味着部分或所有环境可能在异地运行（基于云）。我还看到了“WinEventLog”，这可能意味着我的环境正在运行 Windows 配置。 - 为了确认我的环境正在运行 Windows 配置的假设，我从网络中选择了一台主机来查看它正在运行什么。如果它正在运行任何 Windows 服务，那么我的假设就是正确的。我使用下面的 SPL 搜索主机，查找源类型为 Windows Event Logs 的记录。 - `` - 随着结果的返回，我看到有相当多的结果其 sourcetype 是 WinEventLog。可以非常稳妥地假设我的环境正在运行 Windows 配置。 

既然我对我的环境有了相当不错的了解，那就开始威胁狩猎吧！ - 我将通过查看一些 Windows System Monitor logs (Windows Sysmon) 来开始我的搜索。这是开始寻找威胁的好地方，因为它包含有关系统活动、网络连接和文件系统更改的日志。这是发现潜在威胁的绝佳场所！为此，我输入了下面的 SPL 语法。 - `` - 左侧会出现一个菜单，列出各种字段。列出的一些字段包括 process_name、Image 和 file_path。 - 让我们仅关注网络上的一台用户主机，并深入查看它们的网络登录。在 Sysmon 日志中，网络登录显示为 Event ID3。 - `` - 我查看了 Selected Fields 列中的“Image”进程字段，并发现了一些值得注意的东西！ - 排名靠前的一个值表明该用户一直在使用 Tor 浏览器。Tor 浏览器在企业网络上是被特别

标签：AWS, Cloudflare, DPI, MITRE ATT&CK, SPL 查询, Sysmon, Threat Hunting, Windows 事件日志, 代码示例, 安全实验室, 安全运营, 异常检测, 扫描框架, 插件系统, 数字取证, 数据分析, 漏洞利用检测, 环境感知, 网络安全, 网络安全审计, 自动化脚本, 隐私保护