Sha674/splunk-siem-credential-dumping-lab
GitHub: Sha674/splunk-siem-credential-dumping-lab
基于 Splunk 的威胁狩猎实验环境,通过 LSASS 凭据转储攻击场景教学如何从 Sysmon 日志中识别攻击者行为。
Stars: 0 | Forks: 0
# 使用 Splunk 和 MITRE ATT&CK 进行威胁狩猎
## 目标
本实验室模拟了一个真实场景下的后渗透阶段,其中攻击者已攻陷一台 Windows 机器,并试图通过 LSASS 内存转储窃取凭据。
目标是通过使用 Splunk 识别攻击者留下的数字指纹,从**被动日志分析**转向**主动威胁狩猎**。
**调查涉及的 MITRE ATT&CK 技术:**
| 技术 ID | 名称 | 描述 |
|---|---|---|
| T1003.001 | OS Credential Dumping: LSASS Memory | 攻击者转储 LSASS 进程内存以提取明文凭据 |
| T1018 | Remote System Discovery | 攻击者枚举网络上的其他系统 |
## 🛠️ 环境设置
| 组件 | 详情 |
|---|---|
| **SIEM 平台** | Splunk (通过 Docker 部署) |
| **分析员操作系统** | Kali Linux |
| **日志源** | Windows Sysmon (`windows-sysmon.log`) |
| **日志格式** | Windows Event Logs (XML) |
| **部署方式** | 通过一键 Shell 脚本部署容器化 Splunk 实例 |
## 📚 参考资料
- [MITRE ATT&CK T1003.001 — LSASS Memory](https://attack.mitre.org/techniques/T1003/001/)
- [MITRE ATT&CK T1018 — Remote System Discovery](https://attack.mitre.org/techniques/T1018/)
- [Sysmon Event ID Reference](https://learn.microsoft.com/en-us/sysinternals/downloads/sysmon)
- [Splunk Attack Dataset](https://github.com/splunk/attack_data/tree/master/datasets/attack_techniques)
## 👤 作者
**Shannon Tan**
标签:ATT&CK矩阵, BurpSuite集成, Cloudflare, Conpot, Cutter, Docker, LSASS内存转储, MITRE ATT&CK, Sysmon, T1003.001, T1018, Windows安全, 凭据转储, 威胁猎杀, 安全实验, 安全防御评估, 数字取证, 红队模拟, 网络安全, 自动化脚本, 请求拦截, 隐私保护