tylercasey2263/hunting-through-the-siem-BSidesTampa13

# 在 SIEM 中进行狩猎 ### BSides Tampa 13 - 研讨会 + CTF 这是一个围绕逼真的 APT41 风格入侵场景设计的实战化威胁狩猎研讨会，随后是一场完全在 Splunk 内部举行的 Capture the Flag (CTF) 竞赛。 参与者将经历一个为期四天的攻击时间线，从外部侦察到数据外发，使用真实的日志源：Sysmon、Windows Event Logs、Zeek 网络日志和防火墙数据。 ## 仓库内容 ``` hunting-through-the-siem-BSidesTampa13/ ├── bsides_tampa13-huntingthroughthesiem.pdf # Workshop slide deck (PDF) ├── ctf/ │ ├── ccs_ctf.spl # Splunk app - install this to run the CTF │ └── ctf_intro.md # Participant handout: scenario, network map, tips ├── dataset/ │ ├── firewall/ │ │ └── firewall.csv # Cisco ASA-style perimeter firewall log │ ├── host/ │ │ ├── sysmon.json # Sysmon events (EID 1, 2, 3, 7, 10, 13, 22…) │ │ ├── windows_kerberos.json # Kerberos TGT/TGS events (EID 4768/4769/4771) │ │ ├── windows_security.json # Windows Security Event Log │ │ └── windows_system.json # Windows System/Application Event Log │ ├── network/ │ │ ├── conn.log # Zeek connection log │ │ ├── dns.log # Zeek DNS log │ │ ├── http.log # Zeek HTTP log │ │ └── ssl.log # Zeek SSL/TLS log (includes JA3/JA3S) │ └── meta/ │ ├── environment_manifest.json # Full environment: users, hosts, IPs, subnets │ ├── props_transforms.conf # Splunk CIM field aliases │ ├── splunk_inputs.conf # Splunk monitor stanzas │ └── README.md # Dataset ingestion guide └── LICENSE ``` ## 场景背景 **Cryptid Conservation Society (CCS)** 是一个虚构的非营利组织，致力于研究和保护神秘生物物种。该组织在 2025 年 9 月的四天时间里，遭到了 APT41 风格威胁行为者的入侵。 该攻击遵循了完整的攻击链： | 日期 | 阶段 | |-----|-------| | 9月8日 | 外部侦察：Web 扫描、DNS 枚举、OSINT | | 9月9日 | 鱼叉式网络钓鱼 → 宏执行 → C2 信标通信 → 三种持久化机制 → 权限提升 | | 9月10日 | 规避防御 → LSASS 转储 → Kerberoasting → AS-REP Roasting → BloodHound → 横向移动 → 数据收集 | | 9月11日 | 通过加密的 HTTPS 和 DNS 隧道进行数据外发 | 每个日志源都包含真实证据。除了数据集生成器之外，没有任何内容是捏造的；这些工件在不同日志源之间保持一致且相互关联。 ## 快速开始：Splunk App（推荐） 运行此 CTF 最简单的方法是安装预构建的 Splunk 应用程序。 **要求：** - Splunk Enterprise 或 Splunk Free (≥ 9.x) - 约 500 MB 可用磁盘空间 **步骤：** 1. 在 Splunk Web 界面中，转到 **Apps → Manage Apps → Install app from file** 2. 上传 `ctf/ccs_ctf.spl` 3. 出现提示时重启 Splunk 4. 导航到 **CCS CTF** 应用程序 - 数据将预加载到 `index=ctf` 中 5. 在搜索之前，将时间选择器设置为 **Sep 8–12, 2025** 完成。无需手动导入数据。 ## 手动导入（备选方案） 如果您希望自己导入原始数据集，请遵循 [`dataset/meta/README.md`](dataset/meta/README.md) 中的指南。 **所需的 Splunk Technology Add-ons**（请先从 Splunkbase 安装）： | 插件 | 用途 | |--------|---------| | Splunk Add-on for Microsoft Windows | WinEventLog sourcetype 解析 + 身份验证 CIM | | Splunk Add-on for Sysmon | Sysmon 事件解析 + 端点 CIM 映射 | | Splunk Add-on for Zeek (TA-bro) | Zeek 日志解析 + 网络流量 CIM | | Splunk Common Information Model (CIM) | 数据模型加速 | ## 数据集概览 | 来源 | 事件数 | 大小 | |--------|--------|------| | Zeek conn.log | 70,855 | 9.6 MB | | Zeek dns.log | 62,854 | 9.9 MB | | Windows Kerberos | 60,790 | 37.1 MB | | Sysmon | 45,702 | 33.2 MB | | Firewall | 43,276 | 7.2 MB | | Zeek ssl.log | 42,428 | 11.9 MB | | Windows Security | 19,502 | 11.3 MB | | Zeek http.log | 9,135 | 2.0 MB | | Windows System | 10,254 | 2.9 MB | | **总计** | **364,796** | **125.2 MB** | - **公司：** Cryptid Conservation Society (CCS) | `ccs.dev` - **数据集时间跨度：** 2025-09-08 至 2025-09-11（4 天） - **用户：** 250 名，分布在 10 个部门 - **Splunk 索引：** `ctf` - **时间戳：** America/New_York (EDT, UTC-4) ## CTF 概览 本次 CTF 包含 **28 个问题**，贯穿完整的攻击链，分为三个难度等级： | 等级 | 分值 | 描述 | |------|--------|-------------| | Beginner | 100 | 单一日志源；基础的 SPL | | Intermediate | 250 | 需要进行过滤、关联或字段提取 | | Expert | 500 | 多源关联、编码/解码或隐蔽的 IOC | **最高得分：** 7,850 分 有关参与者手册（包括场景背景、网络拓扑图、关键用户账户、Windows Event ID 参考和 Splunk 提示），请参见 [`ctf/ctf_intro.md`](ctf/ctf_intro.md)。 ## 致讲师 - Splunk 应用程序 (`ccs_ctf.spl`) 打包了所有数据集和 Splunk 配置；参与者除了安装该应用程序外，无需进行其他设置。 - `ctf_intro.md` 专为在研讨会开始时打印或以数字方式分享而设计。 - 答案关键文件（`attack_timeline.json`、`ctf_walkthrough.md`、`ctf_questions.csv`、`STORYLINE.md`）未包含在本仓库中，应仅在活动结束后分发。 - `dataset/meta/environment_manifest.json` 文件包含所有用户账户、IP 和主机名，有助于构建额外的问题或验证答案。 ## 参与者前置条件 - 一个指向 Splunk 实例的 Web 浏览器（如果使用共享实验室，则无需在本地安装） - 具备基础的 Splunk 搜索语法知识会有所帮助，但不是必需的 - 在浏览器标签页中打开 [MITRE ATT&CK](https://attack.mitre.org/) 和 [CyberChef](https://gchq.github.io/CyberChef/) ## 许可证 本项目采用 MIT 许可证授权。有关详细信息，请参见 [LICENSE](LICENSE)。 该数据集是合成的。所有用户名、主机名、IP 地址和事件均是为本次研讨会生成的。与真实基础设施的任何相似之处纯属巧合。 *在 BSides Tampa 13 发表*

标签：APT41, Beacon Object File, BSides Tampa, EDR, HTTP/HTTPS抓包, IP 地址批量处理, JA3指纹, Modbus, Mr. Robot, PE 加载器, Rootkit, Sysmon, Windows事件日志, Zeek, 代码示例, 威胁情报, 安全工作坊, 安全竞赛, 密码管理, 开发者工具, 态势感知, 插件系统, 数字取证, 数据分析, 无线安全, 漏洞修复, 网络安全, 网络安全培训, 网络流量分析, 脆弱性评估, 自动化脚本, 防火墙日志, 隐私保护