oluwakemibankole-sec/threat-hunting-queries

# 🔎 威胁狩猎查询 | Splunk & Sigma ## 🎯 目标 本仓库包含实用的威胁狩猎查询和 Sigma 检测规则，侧重于识别 SOC 环境中常见的暴力破解认证活动和可疑的 PowerShell 执行。 ## 🛡️ 用例 - 失败登录爆发检测 - 暴力破解活动狩猎 - 编码 PowerShell 执行 - 可疑命令行活动 - Windows 日志异常审查 ## 📊 Splunk 检测 ### 失败登录爆发 ``` index=wineventlog EventCode=4625 | stats count by Account_Name, Source_Network_Address | where count > 5 ``` ### 编码 PowerShell 狩猎 ``` index=wineventlog EventCode=4104 | search "-enc" OR "FromBase64String" ``` ## 📐 Sigma 规则 ### 失败登录暴力破解 ``` logsource: product: windows service: security detection: selection: EventID: 4625 condition: selection ``` ### 可疑 PowerShell ``` logsource: product: windows service: powershell detection: keywords: - "-enc" - "FromBase64String" condition: keywords ``` ## 🧠 MITRE ATT&CK 映射 - T1110 – 暴力破解 (Brute Force) - T1059.001 – PowerShell - T1027 – 混淆/编码文件 (Obfuscated/Encoded Files) ## 🛠️ 所用工具 - Splunk - Sigma - Windows Event Logs - Kali Linux - MITRE ATT&CK

标签：AMSI绕过, BurpSuite集成, DNS 反向解析, OpenCanary, PoC, PowerShell安全, Sigma规则, SOC分析, Splunk查询, Windows日志, 威胁检测, 安全脚本, 安全运营中心, 暴力破解, 目标导入, 红队行动, 网络安全, 网络映射, 隐私保护