Qwortie/splunk-detection-rules

# 🚨 Splunk 检测规则     我在我个人的 [SOC 实验环境](https://github.com/Qwortie/SOC-Home-Lab) 中开发并验证了这套自定义 SPL（搜索处理语言）检测规则。每条规则都关联了 MITRE ATT&CK 技术，并附有检测逻辑、调优说明和目标数据源。 规则均针对 Splunk Enterprise 编写，适用于 Windows 事件日志和 Sysmon 数据源。 ## 📋 规则索引 ### 🔑 凭据访问 | 规则 | 技巧 | ID | 严重性 | 文件 | |---|---|---|---|---| | 密码喷洒 — 多账户失败 | 密码喷洒 | [T1110.003](https://attack.mitre.org/techniques/T1110/003/) | 高 | [credential-access/password-spray.spl](./credential-access/password-spray.spl) | | Kerberoasting — RC4 服务票据请求 | Kerberoasting | [T1558.003](https://attack.mitre.org/techniques/T1558/003/) | 高 | [credential-access/kerberoasting.spl](./credential-access/kerberoasting.spl) | | Mimikatz — LSASS 内存访问 | 操作系统凭据转储 | [T1003.001](https://attack.mitre.org/techniques/T1003/001/) | 严重 | [credential-access/mimikatz-lsass.spl](./credential-access/mimikatz-lsass.spl) | ### 🔁 持久化 | 规则 | 技巧 | ID | 严重性 | 文件 | |---|---|---|---|---| | 计划任务创建 — 持久化 | 计划任务/作业 | [T1053.005](https://attack.mitre.org/techniques/T1053/005/) | 中 | [persistence/scheduled-task.spl](./persistence/scheduled-task.spl) | | 创建新的本地管理员账户 | 创建账户 | [T1136.001](https://attack.mitre.org/techniques/T1136/001/) | 高 | [persistence/new-local-admin.spl](./persistence/new-local-admin.spl) | | 通过 PowerShell 执行 LNK 载荷 | 引导/登录自动运行 | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | 高 | [persistence/lnk-execution.spl](./persistence/lnk-execution.spl) | ### 🔀 横向移动 | 规则 | 技巧 | ID | 严重性 | 文件 | |---|---|---|---|---| | Pass-the-Hash — NTLM 横向移动 | 使用替代身份验证材料 | [T1550.002](https://attack.mitre.org/techniques/T1550/002/) | 高 | [lateral-movement/pass-the-hash.spl](./lateral-movement/pass-the-hash.spl) | ### ⚙️ 执行 | 规则 | 技巧 | ID | 严重性 | 文件 | |---|---|---|---|---| | Office 应用程序生成可疑子进程 | 命令和脚本解释器 | [T1059.005](https://attack.mitre.org/techniques/T1059/005/) | 高 | [execution/macro-child-process.spl](./execution/macro-child-process.spl) | | ISO 挂载 + rundll32 DLL 执行 | 签名二进制文件代理执行 | [T1218.011](https://attack.mitre.org/techniques/T1218/011/) | 高 | [execution/iso-rundll32.spl](./execution/iso-rundll32.spl) | ### 🛡️ 防御规避 | 规则 | 技巧 | ID | 严重性 | 文件 | |---|---|---|---|---| | PowerShell 执行编码命令 | 混淆的文件或信息 | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | 高 | [defense-evasion/encoded-powershell.spl](./defense-evasion/encoded-powershell.spl) | | 使用 certutil 作为文件下载器（LOLBAS） | 签名二进制文件代理执行 | [T1218.007](https://attack.mitre.org/techniques/T1218/007/) | 中 | [defense-evasion/certutil-download.spl](./defense-evasion/certutil-download.spl) | ## 📁 仓库结构 ``` splunk-detection-rules/ ├── README.md ├── credential-access/ │ ├── password-spray.spl │ ├── kerberoasting.spl │ └── mimikatz-lsass.spl ├── persistence/ │ ├── scheduled-task.spl │ ├── new-local-admin.spl │ └── lnk-execution.spl ├── lateral-movement/ │ └── pass-the-hash.spl ├── execution/ │ ├── macro-child-process.spl │ └── iso-rundll32.spl └── defense-evasion/ ├── encoded-powershell.spl └── certutil-download.spl ``` ## 📖 规则格式 每个 `.spl` 文件遵循以下结构： ``` Title: Rule name MITRE ID: Technique ID and link Tactic: ATT&CK tactic Severity: Low / Medium / High / Critical Data Source: wineventlog / sysmon Event IDs: Relevant Windows Event IDs Description: What this detects and why --- SEARCH --- [SPL query] --- TUNING NOTES --- [False positive sources and suppression logic] ``` ## 🧪 实验环境 所有规则均在我个人的 SOC 实验环境中开发并验证： | 组件 | 详情 | |---|---| | SIEM | Splunk Enterprise 10.0.5 — Ubuntu 22.04 (10.10.10.13) | | 日志源 | Windows 事件日志，Sysmon（AD_LAB 段） | | 域控制器 | Windows Server 2019 — ad.lab (10.80.80.2) | | 客户端 | Windows 10 企业版 x2 | | 攻击主机 | Kali Linux (10.0.0.2) | ## 🔗 相关仓库 - [SOC-Home-Lab](https://github.com/Qwortie/SOC-Home-Lab) — 这些规则开发所用的实验环境 - [Phishing-tickets](https://github.com/Qwortie/Phishing-tickets) — 推动这些规则生成的钓鱼调查案例

标签：AMSI绕过, Cloudflare, MITRE ATT&CK, SPL, Sysmon, T1003.001, T1053.005, T1110.003, T1136.001, T1558.003, Windows Event Log, 凭证访问, 威胁检测, 安全运营, 扫描框架, 检测规则, 模拟器, 网络资产发现