dabhimahavir333/SIEM-Detection-Engineering-Lab

# Splunk SIEM 检测工程与威胁狩猎实验 ## 目标 从零开始构建本地安全信息与事件管理（SIEM）管道，在模拟高级持续性威胁（APT）攻击期间实现高保真取证遥测数据的捕获、摄取与分析。 ## 架构与工具 * **SIEM：** Splunk Enterprise * **遥测：** Windows Sysmon（自定义 XML 配置） * **日志传输：** Splunk Universal Forwarder * **对手模拟：** Atomic Red Team * **目标操作系统：** Windows 10 虚拟机 ## 案例研究 1：命令和脚本解释器 (T1059.003) 模拟攻击者通过 `cmd.exe` 执行恶意 payload。对该管道进行工程设计以绕过主机防火墙限制，捕获原始的进程创建（Event ID 1）遥测数据。 * **检测调优：** 在 SPL 中应用误报减少技术，通过过滤掉合法的 `explorer.exe` 父进程，隔离出恶意的 `calc.exe` payload。 ## 案例研究 2：计划任务持久化 (T1053.005) 通过注入恶意计划任务来模拟高级持久化机制。狩猎原始 XML 遥测数据，以捕获 `System32\Tasks` 目录内隐蔽的文件创建（Event ID 11）以及随后的进程执行触发（Event ID 1）。 * **检测调优：** 优化 SPL 查询以过滤掉常规的管理噪音，专门针对恶意的 `schtasks.exe /create` 命令，同时剔除无害的系统更新任务。 **作者：** Mahavirsinh Dabhi

标签：APT, Atomic Red Team, DAST, Detection Engineering, Python 实现, Splunk Universal Forwarder, SPL查询, Sysmon, TGT, Windows 10, 命令执行, 安全信息与事件管理, 安全工具集合, 安全运营, 安全遥测, 对手模拟, 恶意软件分析, 扫描框架, 搜索引擎爬取, 攻防演练, 数字取证, 数据展示, 数据泄露检测, 日志传输, 生成式AI安全, 私有化部署, 红队, 网络威胁情报, 网络安全, 自动化脚本, 虚拟机, 误报过滤, 防御规避, 隐私保护, 高级持续性威胁