vishwakarmameenal105-a11y/Threat_hunting_using_splunk

# 使用 Splunk 进行 Threat_hunting # 威胁搜寻：使用 Splunk 调查 4798 事件 ## 威胁 事件 ID 4798（用户组成员身份被枚举）发生在有人查找用户所属组时。 **为什么这很重要：** 攻击者枚举组成员身份是为了发现： - 管理员账户 - 特权用户 - 横向移动的目标 普通用户很少需要枚举组成员身份。如果发生了，应该进行调查。 ## 调查问题 我的 Windows 安全日志中是否有任何可疑的 4798 事件？ ## 假设 如果攻击者进入我的系统，他们将枚举组成员身份以查找特权账户。这将显示为 4798 事件： - 发生在异常时间（夜间、周末） - 来自异常用户（非管理员） - 突发式出现（自动枚举） ## 使用的工具 - **Splunk Free** - 日志分析与搜索 - **Windows Event Logs** - 来自我的系统的安全日志 ## 调查步骤 ### 步骤 1：建立基线 正常的 4798 活动是什么样的？ - 每天有多少次？ - 是哪些用户？ - 一天中的什么时间？ ### 步骤 2：搜寻异常 寻找不符合基线的模式： - 凌晨 3 点发生的 4798 - 非管理员用户枚举组 - 活动突发 ### 步骤 3：调查发现 对于每一个异常： - 那个时间还发生了什么？（4624 登录，4688 进程） - 是否有合理的解释？ - 这是否值得采取进一步行动？ ## 当前状态 🔴 调查进行中 ## 发现 *(分析后更新)* | 日期 | 发现 | 可疑？ | 操作 | |:---|:---|:---|:---| | TBD | TBD | TBD | TBD | ## 结论 *(分析后更新)* ## 此仓库中的文件 - `splunk_queries.md` - 我运行的所有搜索 - `baseline.md` - 正常情况的样子 - `anomalies.md` - 我发现的内容 - `screenshots/` - 来自 Splunk 的证据 ## 我学到了什么 *(项目完成后更新)*

标签：BurpSuite集成, CTF学习, Windows安全日志, 事件ID 4798, 内网渗透, 协议分析, 基线分析, 安全运营, 异常检测, 扫描框架, 权限提升, 横向移动, 用户组枚举, 编程规范, 网络安全, 隐私保护