jaydenwilliams-cyber/cowboy-bebop-threat-hunting-lab

# Cowboy Bebop 威胁狩猎实验环境 一个由四集组成的 SIEM 威胁检测实验环境，基于 Splunk、Sysmon 和三个 VirtualBox 虚拟机构建——每个虚拟机均以《星际牛仔》中的飞船命名。 ## 实验环境架构 | VM | OS | IP | 角色 | |---|---|---|---| | Bebop | Ubuntu 24.04 | 10.0.2.6 | Splunk Enterprise 10.2.3 (SIEM) | | Swordfish II | Windows 11 | 10.0.2.5 | 受害者 — Sysmon + Universal Forwarder | | Red Dragon | Kali Linux | 10.0.2.3 | 攻击者 | ## 剧集 | 剧集 | 技术 | MITRE ATT&CK | Sysmon 事件 | |---|---|---|---| | Tank! | PowerShell 下载吊篮 | T1059.001 | Event ID 1 | | Stray Dog Strut | 注册表运行键持久化 | T1547.001 | Event ID 13 | | Honky Tonk Women | LSASS 内存转储尝试 | T1003.001 | Event ID 1 | | Gateway Shuffle | 恶意 Windows 服务创建 | T1543.003 | Event ID 1 | ## 检测查询 **第 1 集 — 初始访问** ``` index=sysmon "powershell.exe" earliest=-30m ``` **第 2 集 — 持久化** ``` index=sysmon "Cowboy" ``` **第 3 集 — 凭据访问** ``` index=sysmon "lsass" ``` **第 4 集 — 横向移动** ``` index=sysmon "GatewayShuttle" ``` ## 使用的工具 - Splunk Enterprise 10.2.3 - Sysmon（SwiftOnSecurity 规则集） - Kali Linux - VirtualBox NatNetwork ## 完整文章 发布于 Medium：[See You Space Cowboy: Bounty Hunting Threats with Splunk](https://medium.com/@jwilliams.cyber/see-you-space-cowboy-bounty-hunting-threats-with-splunk-911ffbed051a)

标签：AMSI绕过, Cloudflare, Conpot, IPv6, MITRE ATT&CK, OpenCanary, PowerShell, Sysmon, TGT, VirtualBox, Windows安全, 凭据窃取, 嗅探欺骗, 威胁检测, 安全运营, 开源安全项目, 扫描框架, 攻防演练, 权限维持, 横向移动, 编程规范, 网络安全实验室, 网络安全实验教程, 虚拟机环境