s-reese/Solar-Winds-Threat-Hunting

# SolarWinds 威胁狩猎调查 ## 概述 本项目重点是在模拟的威胁狩猎环境中，使用 Splunk 和 VirusTotal 调查潜在的与 SolarWinds 相关的威胁指标（IOC）。调查过程包括识别可疑的 IP 活动、关联事件数据、通过外部情报源验证指标，以及记录受影响的系统和调查结果。 ## 目标 * 调查可疑的 IOC 活动 * 使用 Splunk 执行威胁狩猎 * 跨系统关联可疑 IP 活动 * 使用 VirusTotal 验证指标 * 记录调查结果和受影响的系统 ## 使用的工具 * Splunk * VirusTotal * IOC 分析 * 威胁狩猎工作流 * 安全事件分析 ## 调查过程 ### 第 1 步：审查可疑的 IOC 活动 使用 Splunk 搜索来识别可能与 SolarWinds 相关活动有关的可疑 IP 地址和指标。 ### 第 2 步：关联事件数据 对事件数据进行分析以识别： * 可疑的 IP 活动 * 事件时间戳 * 受影响的系统 * 重复的 IOC 匹配 ### 第 3 步：验证指标 使用 VirusTotal 审查可疑 IP 地址，以确定这些指标是否与已知的恶意或可疑活动有关。 ### 第 4 步：记录调查结果 在整个威胁狩猎过程中，记录了与受影响系统、可疑 IP 地址和调查细节相关的发现。 ## 调查结果 * 识别出多个与 IOC 匹配相关的可疑 IP 地址 * 跨多个系统关联了可疑活动 * 使用 VirusTotal 调查了 IP 信誉数据 * 记录了事件时间线和受影响的系统 ## 展示的技能 * 威胁狩猎 * IOC 分析 * SIEM 分析 * Splunk SPL 搜索 * 安全事件关联 * 威胁调查 * 分析性解决问题能力 ## 我学到了什么 本项目加深了我对威胁狩猎工作流和 IOC 分析的理解。同时也进一步巩固了我对 SIEM 分析和 VirusTotal 等外部情报工具如何支持识别和调查可疑网络活动的认识。 ## 屏幕截图 ### IOC 匹配调查 包含 Splunk IOC 匹配的屏幕截图。 ### VirusTotal IP 信誉分析 包含用于验证可疑 IP 指标的 VirusTotal 分析屏幕截图。

标签：Ask搜索, HTTP工具, IOC分析, IP信誉分析, IP 地址批量处理, SIEM分析, SolarWinds, SPL查询, VirusTotal, 入侵指标, 威胁情报, 安全事件关联, 安全事件响应, 安全运营, 开发者工具, 扫描框架, 无线安全, 漏洞调查, 网络安全, 隐私保护