Jcapreol/soc-hunting-playbook

# SOC 威胁狩猎 Playbook 一份结构化的、面向实战人员的威胁狩猎手册，涵盖 10 种映射到 MITRE ATT&CK v14 的高优先级对手技术。专为使用 Splunk 作为主要 SIEM 的 Windows/Active Directory 环境而构建。 ## 概述 本手册为 SOC 分析师和检测工程师提供了现成可用的狩猎假设、Splunk 查询语句、分流决策表以及针对企业 Windows 环境中最常见对手技术的调查工作流。 每项技术条目旨在支持**假设驱动的狩猎**——而不仅仅是警报分类。提供的查询是旨在浮现可疑模式供分析师审查的狩猎基线，而非生产环境下的检测规则。 ## 涵盖内容 - 10 项映射的对手技术，涵盖凭证访问、持久化、横向移动、执行和防御规避 - 针对每项技术的 Splunk SPL 查询语句 - 每项技术所需的日志来源和事件 ID - 恶意与合法指标分类表 - 逐步调查工作流 - 严重程度评级和数据源先决条件 ## 技术 | # | MITRE ID | 技术 | 战术 | 严重程度 | |---|----------|-----------|--------|----------| | 1 | [T1003.001](https://attack.mitre.org/techniques/T1003/001/) | LSASS 内存转储 | Credential Access | 严重 | | 2 | [T1053.005](https://attack.mitre.org/techniques/T1053/005/) | 计划任务创建 | Persistence | 高 | | 3 | [T1547.001](https://attack.mitre.org/techniques/T1547/001/) | 注册表 Run 键持久化 | Persistence | 高 | | 4 | [T1021.002](https://attack.mitre.org/techniques/T1021/002/) | 通过 SMB 管理共享进行横向移动 | Lateral Movement | 高 | | 5 | [T1550.002](https://attack.mitre.org/techniques/T1550/002/) | Pass-the-Hash 认证 | Lateral Movement / Credential Access | 严重 | | 6 | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | 恶意 PowerShell 执行 | Execution | 高 | | 7 | [T1055.001](https://attack.mitre.org/techniques/T1055/001/) | 通过远程线程进行 DLL 注入 | Defense Evasion / Privilege Escalation | 高 | | 8 | [T1036.005](https://attack.mitre.org/techniques/T1036/005/) | 进程伪装 | Defense Evasion | 高 | | 9 | [T1218.011](https://attack.mitre.org/techniques/T1218/011/) | Rundll32 LOLBin 执行 | Defense Evasion / Execution | 高 | | 10 | [T1070.001](https://attack.mitre.org/techniques/T1070/001/) | Windows 事件日志清除 | Defense Evasion | 严重 | ## 如何使用本手册 ### 1. 验证数据源覆盖范围 在开始狩猎之前，请确认所需的日志源已接入并在您的 SIEM 中正常收集。每个技术部分都列出了其特定的事件 ID 和数据先决条件。 ### 2. 选择一项技术 导航到 `docs/threat-hunting-playbook.md` 并根据以下条件选择一项技术： - 活跃的威胁情报或最近发生的安全事件 - 您希望验证的覆盖盲区 - 计划中的轮值狩猎任务 ### 3. 运行 Splunk 查询 将提供的 SPL 查询语句复制到您的 Splunk 环境中。根据需要调整时间范围和特定环境的索引名称。这些是狩猎基线——请根据您的环境调整字段值和阈值。 ### 4. 分类结果 使用每个技术部分中的**恶意与合法指标**表对结果进行分类。并非每个命中都是恶意的——这些表格有助于区分对手行为与预期的管理活动。 ### 5. 调查与升级 按照有序的**分类步骤**关联相关事件，结合主机和身份上下文，并决定是否将其升级为安全事件。 ## 工具与平台 | 类别 | 工具 / 来源 | |----------|--------------| | SIEM | Splunk（为所有技术提供了 SPL 查询） | | 端点遥测 | Sysmon v15+（事件 1, 3, 7, 8, 10, 11, 13） | | Windows 事件日志 | Security、System、PowerShell (4104, 4103, 4656, 4663, 4698, 4688 等) | | EDR | Windows Defender / 具有进程访问遥测功能的 EDR 平台 | | 框架 | MITRE ATT&CK v14 | | 环境 | Windows / Active Directory | ### 最低数据源要求 - 采用 SwiftOnSecurity 基线配置的 Sysmon v15+（最低要求） - PowerShell 脚本块日志记录（事件 4104）和模块日志记录（事件 4103） - Windows 安全审计策略：进程创建、登录、对象访问、策略更改 - 带有命令行日志记录的进程创建（事件 4688） - 网络共享审计（事件 5140） - 注册表审计（事件 4657 或 Sysmon 事件 13） - 日志转发延迟在 5 分钟以内 ## 仓库结构 ``` soc-hunting-playbook/ └── docs/ └── threat-hunting-playbook.md # Full playbook — all 10 techniques ``` ## 维护者 SOC 检测工程 — MITRE ATT&CK v14

标签：Active Directory安全, Cloudflare, Conpot, MITRE ATT&CK, OpenCanary, SPL查询, Terraform 安全, Threat Hunting, URL发现, Windows安全, 事件分诊, 企业安全, 假设驱动狩猎, 安全检测, 安全运营中心, 库, 应急响应, 网络安全, 网络映射, 网络资产管理, 隐私保护