Paulcyber06/E2-Splunk-Recognition-Detection
GitHub: Paulcyber06/E2-Splunk-Recognition-Detection
一份基于 Splunk 的 Web 侦察检测实战教程,演示如何通过分析 404 日志和重建浏览行为来识别针对敏感文件的低频慢速探测攻击。
Stars: 0 | Forks: 0
# 第二集 — Splunk:Web 侦察检测
## 目录
1. [背景](#1-contexte)
2. [初步观察](#2-observation-initiale)
3. [分析 — Top 10 IP 地址](#3-analyse--top-10-des-adresses-ip)
4. [分析 — 可疑 IP 的行为](#4-analyse--comportement-de-lip-suspecte)
5. [分析 — 浏览行为重建](#5-analyse--reconstruction-de-la-navigation)
6. [结论](#6-conclusion)
7. [SOC 运营响应](#7-réponse-opérationnelle-soc)
## 1. 背景
在钓鱼尝试发生几天后,Buttercup Games 的 Web 服务器日志显示存在异常活动。一个未知的 IP 地址正在主动探测 Web 应用程序,以搜索敏感文件——特别是 `/passwords.pdf`。
SOC 启动了通过 Splunk 进行调查的程序,以识别和描述这种侦察活动的特征。攻击者由于未能通过钓鱼成功欺骗员工,现在正尝试直接获取访问凭据。
## 2. 初步观察
为了开始调查,我们使用搜索栏并输入以下命令:
```
index=main sourcetype="access_combined_wcookie" status=404
```
我们获得了 **690 个事件**。
这代表该日志文件中发出的 `404` 请求总数。
提醒一下,`404` 请求对应于 **“页面未找到”** 状态:请求了服务器上不存在的资源。
这在正常情况下也可能发生:
- 用户输入了错误的 URL
- 网站上存在无效链接
- 页面已被删除
## 3. 分析 — Top 10 IP 地址
我们继续使用以下查询:
```
index=main sourcetype="access_combined_wcookie" status=404
| stats count by clientip
| sort - count
| head 10
```
我们总共找到了 **10 个 IP 地址**,其中第一个累计发出了 **20 个请求**。在日常情况下这并不算异常,但在我们的场景中,为了便于后续的调查,我们将认为这种情况比较可疑。
## 4. 分析 — 可疑 IP 的行为
我们将尝试查明 IP 地址 `87.194.216.51` 在寻找什么,以确定它们仅仅是错误的 URL(可能是最近刚被删除的页面),还是一次旨在发现隐藏内容的尝试。
我们执行以下查询:
```
index=main sourcetype="access_combined_wcookie" status=404 clientip=87.194.216.51
```
| 观察结果 | 分析结论 |
|---|---|
| 请求在时间上分布分散 | 可能是真人操作,而非自动扫描器 |
| 访问不存在的页面 | 偏离常规路径的浏览行为 |
| 尝试访问 `.../hidden/anna_nicole.html` | 正在搜索包含某位员工姓名的隐藏内容 |
## 5. 分析 — 浏览行为重建
我们决定扩大调查范围,通过检查该 IP 尝试访问的**所有 URL**,来尝试了解其真实意图。
```
index=main sourcetype="access_combined_wcookie" clientip=87.194.216.51
| table _time, status, uri
```
通过查看最后这张截图,我们可以看到攻击者试图访问高度机密的文件,例如 `password.pdf`——并且在不同的日期尝试了 **3 次**。
## 6. 结论
| 指标 | 结论 |
|---|---|
| 多个 `404` 请求 | ✅ 异常行为 |
| 尝试访问 `/hidden/anna_nicole.html` | ⚠️ 搜索隐藏内容 |
| 尝试访问 `passwords.pdf` (x3) | ❌ 针对敏感文件 |
| 请求在时间上分布分散 | ⚠️ 可能是手动侦察 |
这种被称为“slow and low”(低频、长期)的侦察类型是精心设计的,旨在绕过基于流量的检测系统的监控。
使得这种侦察特别令人担忧的原因在于它的持续性:同一个 IP 在不同的日期先后三次尝试访问 /passwords.pdf。这不是 opportunistic(机会主义)的,而是有条不紊的。
我们可以得出结论,这是一个正在进行**主动侦察**的人,带有恶意意图,正在寻找访问路径并试图获取公司的敏感文件。只要没找到想要的东西,这个人就会卷土重来——其最终目的是寻找一个敞开的“大门”,以便渗透进我们的服务器并采取行动。
## 7. SOC 运营响应
在企业环境中,SOC 团队通常会采取以下响应措施:
### 🚧 紧急遏制
- 在防火墙层面封锁 IP `87.194.216.51`
### 🔔 检测预警
- 创建警报,检测任何对 /passwords.pdf 的访问尝试
- 创建警报,监控对 /hidden/ 目录的任何访问
- 检查在同一时间段内是否有其他 IP 尝试访问相同的敏感 URL
### 🔍 深入调查
- 检查该 IP 的 `200`(Status OK)请求,以确认其是否成功访问了某些内容
- 根据调查发现进行事件升级
## 📁 复现此分析
使用的数据集是 Splunk 官方的 `tutorialdata.zip`,可在此处免费获取:
[下载 tutorialdata.zip](https://docs.splunk.com/images/Tutorial/tutorialdata.zip)
*© Paulcyber06 — 保留所有权利。*
标签:HTTP 404, IP分析, IP 地址批量处理, Splunk SPL, Web侦察, Web服务器安全, 安全运营中心, 密码管理, 攻击分析, 数字取证, 网络安全, 网络映射, 自动化脚本, 隐私保护