ellicrw/Threat-Hunting-in-Real-Datasets-Splunk-Sysmon-Analysis-

# 在真实数据集中的威胁搜寻（Splunk – Sysmon 分析） ## 概述 本项目演示了在 Splunk 中使用 Windows Sysmon 日志进行大规模威胁搜寻调查。目标是检测绕过传统告警的攻击者行为，重点关注 **基于 WMI 的横向移动**、**远程执行**和**持久化机制**。 调查遵循 **Tier 2 SOC / 威胁搜寻工作流**，结合基于假设的分析、结构化的 SPL 查询和 MITRE ATT&CK 映射，重建完整的攻击时间线。 ## 目标 - 检测跨内部系统的横向移动 - 识别对 Windows Management Instrumentation (WMI) 的滥用 - 揭示持久化机制 - 将日志关联为结构化的攻击时间线 - 将观察到的行为映射到 MITRE ATT&CK ## 工具与技术 - Splunk（日志摄取、SPL 查询） - Windows Sysmon 日志 - CyberDefenders 数据集 - MITRE ATT&CK 框架 ## 数据集详情 - 文件：`wmi_remote_registry_sysmon.xml` - 日志源：Microsoft Sysmon 操作日志 - 主机：Berserk / MSEDGEWIN10 ### 相关事件 ID | 事件 ID | 描述 | |--------|------------| | 1 | 进程创建 | | 3 | 网络连接 | | 7 | 加载的镜像 | | 12 | 注册表项创建 | | 13 | 注册表值设置 | ## 调查方法论 ### 假设 调查基于以下假设： - 横向移动可能通过 WMI（RPC 端口 135）发生 - 攻击者可能使用合法二进制文件 - 持久化可能通过注册表 Run 键建立 ## 检测逻辑 ### 横向移动（基于 RPC 的 WMI） ``` source="wmi_remote_registry_sysmon.xml" host="Berserk" sourcetype="VMTX" EventCode=3 | search dest_port=135 OR dest_port=445 | stats count by src_ip, dest_ip, dest_port, user, Image | where count > 2 | sort - count ```

标签：Cloudflare, CSV导出, LOLBins, MITRE ATT&CK, PE 加载器, RPC, SPL, Sysmon, Windows日志, WMI, WMI Event Subscription, 事件ID 1, 事件ID 13, 事件ID 3, 事件分析, 假设驱动分析, 安全运营, 扫描框架, 攻击链重建, 横向移动, 注册表, 端口135, 端口445, 编程规范, 网络连接, 进程创建, 远程执行