Scieneaux4/SIEM-Threat-Hunting-project

SIEM 威胁狩猎项目 本项目使用 Splunk 和 BOTS 数据集，模拟了基于 SIEM 的威胁狩猎调查。 其目标是模拟真实 SOC 分析师的行为，通过识别可疑活动、分析网络流量以及调查潜在的恶意软件感染来完成任务。 展示的技能 - SIEM 日志分析 (Splunk) - 威胁检测与调查 - 网络流量分析 - 指标关联（基于 IP 的分析） - SOC 事件响应工作流 调查工作流 1. 识别可疑活动 初始检测查询： index="bots" malware - 识别出受感染主机：192.168.250.100 2. 分析出站流量 SPL： index=bots srcip=192.168.250.100 | stats count by dstip | sort -count - 我建立了正常出站流量的基线，然后关联到恶意日志中标记的恶意 IP 92.222.104.182。 3. 调查外部通信 SPL： index="bots" dstip=92.222.104.182 | table_time src dstip file action app msg 4. 检查下载活动 SPL： index=bots dstip=92.222.104.182 download - 观察到 HTTP 下载活动 - 日志显示：“File is infected” 关键发现： - 内部主机 192.168.250.100 与外部 IP 92.222.104.182 进行了通信 - 检测到可疑的 HTTP 下载活动 - 安全日志标记出潜在的恶意软件感染 - 多次交互表明存在重复行为 结论： 本次调查模拟了一个真实的 SOC 场景，其中可疑流量被识别、分析，并被验证为潜在的恶意软件活动。 该工作流展示了分析师如何： 1. 检测异常 2. 跨日志进行关联 3. 调查指标 4. 确定事件严重性 截图： 基线流量分析  此截图显示了受感染主机联系的主要外部 IP，突显了异常的出站模式。  恶意 IP 调查  下载活动证据 

标签：AMSI绕过, BOTS数据集, DAST, IP 地址批量处理, IT认证, PB级数据处理, SPL查询, 动手实验, 威胁情报, 威胁检测, 安全实验室, 安全工程师, 安全运维, 安全运营中心, 库, 应急响应, 开发者工具, 异常检测, 恶意软件分析, 数据透视, 网络安全, 网络安全分析师, 网络映射, 网络流量分析, 隐私保护