CharlieWhiskeySec/splunk-detections

# Splunk 检测工程 ## 概述 本仓库包含在使用 Splunk Enterprise 构建的 Active Directory 安全环境中开发的检测逻辑、仪表板和工程笔记。 其重点不仅是编写 SPL 搜索，而是理解 Windows 安全遥测数据是如何被接入、解析并转化为可操作的安全检测的。每个检测都是使用实验环境中生成的真实事件开发的，并包含相关的工程决策、故障排除步骤和调查指南。 ## 目标 - 使用 Windows 安全事件开发实用的 Splunk 检测。 - 构建用于身份验证和身份监控的可重用 SPL。 - 记录开发过程中遇到的工程挑战。 - 将检测映射到真实世界的安全用例。 - 通过实践项目展示安全监控和检测工程技能。 ## 检测分类 ### 身份验证监控 - 成功登录 — Event ID 4624 - 失败登录 — Event ID 4625 - 账户锁定 — Event ID 4740 - 特权登录 — Event ID 4672 ### 账户管理 - 用户创建 - 用户删除 - 安全组成员身份更改 ### 进程监控 - Windows 进程创建 - PowerShell 活动 - Sysmon 进程遥测 ## 工程理念 本仓库中的每个检测都是使用实验环境中生成的遥测数据而非样本数据开发的。当默认的字段提取不够用时，会使用字段提取和正则表达式等额外的解析技术对检测进行优化。 工程决策、故障排除步骤和验证笔记都会记录在每个检测的旁边，以展示完整的开发过程。 ## 当前工作 正在开发的第一个检测侧重于使用 Event ID 4740 监控 Windows 账户锁定。在测试期间，该事件已被成功接入 Splunk，但默认的字段提取并未以可用的表格格式显示出被锁定的账户或调用者计算机。 为了解决这个问题，我们检查了原始事件，并使用自定义的 `rex` 字段提取了所需的值。 ## 检测模板 每个检测都将遵循一致的格式： ``` # Detection Name ## Objective ## Security Use Case ## Data Source ## SPL ## Expected Output ## Engineering Challenges ## Validation ## MITRE ATT&CK Mapping ## Investigation Guidance ## Future Improvements ``` ### 技术 - Splunk Enterprise - Windows Server - Active Directory - Windows 安全事件日志 - Sysmon ### 技能 - 检测工程 - SPL 搜索开发 - Windows 事件分析 - 字段提取 - 身份验证监控 - 安全故障排除 - 技术文档编写

标签：Conpot, Terraform 安全, Windows安全, 安全运营, 扫描框架