OsmanDhaqane/alert-triage-with-splunk-tryhackme-writeup

# 使用 Splunk 进行警报分诊 – TryHackMe 解题报告 本仓库包含我为 TryHackMe 上的 **Alert Triage With Splunk** 房间编写的解题报告。 该房间主要侧重于使用 Splunk 调查 Linux、Windows 和 Web 服务器日志中的不同警报场景。涵盖的主要领域包括暴力破解活动、权限提升、计划任务持久化、探测命令以及 Webshell 活动。 ## 房间重点 - 调查 Linux SSH 暴力破解活动 - 识别在失败尝试后的成功登录活动 - 使用 Splunk 计算暴力破解持续时间 - 检测 Linux 权限提升和持久化 - 调查 Windows 计划任务创建 - 审查进程和父进程关系 - 识别本地组枚举 - 分析 Web 服务器日志中的 Webshell 活动 - 使用 Splunk 查询辅助警报分诊决策 ## 使用的工具 - Splunk - Linux 安全日志 (secure logs) - Windows 安全日志 (Security logs) - Web 访问日志 - AbuseIPDB - 用于获取 Webshell 相关背景信息的 Google 搜索 ## 解题报告 完整的详细解题过程可在此处获取： [alert-triage-with-splunk-writeup.pdf](./alert-triage-with-splunk-writeup.pdf) ## 主要收获 该房间是针对 SOC（安全运营中心）风格警报分诊的绝佳实践。它展示了如何使用 Splunk 从初始警报一步步推导出基于证据的结论，包括识别攻击者活动、确认为真正误报（true positives）以及记录有用的调查步骤。

标签：AbuseIPDB, CTF与攻防演练, Linux安全日志, OpenCanary, PoC, TryHackMe, Walkthrough, Webshell, Web安全, Web访问日志, Windows安全日志, 信息发现, 协议分析, 告警研判, 安全分析与可视化, 安全工程师培训, 安全报告, 安全运营, 扫描框架, 暴力破解, 本地提权, 权限提升, 组枚举, 网络安全, 蓝队分析, 计划任务, 进程分析, 隐私保护