peppel65/threatHunting

# Splunk 威胁狩猎查询库 一份针对 Windows、Linux 和 Active Directory 威胁狩猎的 **125+ 条 Splunk SPL 查询**集合，并与 MITRE ATT&CK 框架进行映射。 还包括一份 **威胁狩猎速查表**，涵盖事件 ID、攻击链路和检测模式。    ## 📦 仓库内容 | 文件 | 说明 | |------|------| | `Splunk_Threat_Hunting_Arsenal.html` | 交互式 HTML，包含 125+ 条 Splunk 查询，支持搜索/筛选与一键复制 | | `Threat_Hunting_Cheatsheet.pdf` | 可打印速查表：事件 ID、Kerberos 参考、18 种攻击链路、检测 SPL | | `README.md` | 你正在阅读的内容 | | `LICENSE` | MIT 许可证 | ## 🎯 涵盖范围 **Splunk 工具库 — 17 个章节：** - 🔥 首分钟排查 - 🔭 侦察 - 🎯 初始访问 - ⚙️ 执行 - 🔩 持久化 - 🪜 权限提升 - 🛡️ 防御规避 - 🔑 凭据访问（含 Mimikatz、Kerberoast、DCSync、金色/银色票据） - 🗺️ 发现 - ↔️ 横向移动 - 📡 命令与控制（含 DGA、Beacon 检测） - 📤 渗出 - 💀 勒索软件检测 - 🧬 IoC 狩猎 - ⏱️ 时间线重建 - 🐧 Linux / Web 服务器 - 🌐 Web 应用攻击 **速查表 — 3 个部分：** - **Part A** — 参考表：Windows 事件 ID、登录类型、Kerberos、Sysmon、LOLBins、LSASS 访问掩码、ADCS ESC 映射、工具指纹 - **Part B** — 18 种 MITRE ATT&CK 攻击链路（从钓鱼到勒索软件、NTLM 中继、ADCS 滥用、Zerologon、金色票据、BYOVD 等） - **Part C** — 60+ 条按 MITRE 战术组织的 Splunk SPL 检测查询 ## 🚀 快速开始 1. **克隆或下载**本仓库 2. 在任意浏览器中打开 `Splunk_Threat_Hunting_Arsenal.html` — 它无需依赖、即用即开 3. 使用搜索框筛选查询（例如：`kerberoast`、`lsass`、`4624`、`DCSync`） 4. 点击任意查询即可复制到剪贴板 5. 粘贴到你的 Splunk 搜索栏并 **适配你的环境** ## ⚠️ 重要提示 — 使用前请阅读 这些查询是 **模式而非开箱即用的检测规则**。你将需要： - **调整索引与源类型** — 查询假设使用 `index=windows`、`sourcetype=XmlWinEventLog` 等约定，你的环境可能不同 - **检查字段名称** — 字段名称因你使用的 Splunk TA（附加组件）而异。CIM 兼容命名有助于统一 - **调节阈值** — 任何包含 `| where count >= N` 的查询都只是起点，需根据基线校准 - **测试后再告警** — 某些查询（如银色票据检测、Beacon 时机分析）存在显著的误报率，应先作为狩猎使用，而非直接设为告警 **目标是提供灵感与起点，而非复制粘贴的完美方案。** ## 🎓 适用人群 - 学习 Splunk 威胁狩猎的蓝队分析师 - 构建 SOC 内容的检测工程师 - 准备威胁狩猎 / DFIR 认证的学习者 - 在家庭实验室中进行实验的学生与爱好者 ## 🚫 并非什么 - 与任何认证厂商或培训机构有关联 - 从任何专有课程材料复制的内容 - 替代你 SIEM 中经过调优的生产级检测规则 ## 📚 参考与灵感来源 这些资料通过提炼公开可用的威胁情报与检测工程知识构建而成，参考包括： - [MITRE ATT&CK](https://attack.mitre.org/) - [Sigma 规则](https://github.com/SigmaHQ/sigma) - [LOLBAS 项目](https://lolbas-project.github.io/) - [LOLDrivers](https://www.loldrivers.io/) - DFIR 社区公开的博客文章与研究 - Splunk 官方的 Security Essentials 内容 如果你发现某个查询模式值得署名，请提交 Issue 或 PR。 ## 📄 许可证 [MIT 许可证](LICENSE) — 详见 LICENSE 文件。 你可以在包含版权声明的条件下自由使用、修改和分发，包括商业用途。 ## 🙋 问题与反馈 请提交 Issue，或通过 LinkedIn 联系我：[Payam Samimi](https://www.linkedin.com/in/payam-samimi/)

标签：Active Directory 威胁狩猎, AMSI绕过, ATT&CK 战术, Cheatsheet, Cloudflare, Command and Control, DCSync, Defense Evasion, DGA, Discovery, Execution, Exfiltration, Golden Ticket, HTML 交互查询, Initial Access, Kerberoast, Lateral Movement, Linux 威胁狩猎, MITRE, MITRE ATT&CK, PDF 参考, Persistence, Privilege Escalation, Ransomware Detection, Silver Ticket, SPL, Splunk 仪表板, Timeline Reconstruction, Windows 威胁狩猎, 后端开发, 多模态安全, 威胁情报, 威胁检测, 安全合规, 安全运营, 开发者工具, 扫描框架, 攻击链, 日志搜索, 检测规则, 网络代理, 网络资产发现