cvonfeldt/BOTS-Splunk

# splunk-bots-investigations 我针对 Splunk Boss of the SOC (BOTS) 数据集的调研、演练以及整体思考过程，内容主要侧重于使用 Splunk 进行勒索软件分析、恶意软件执行、DNS 调查、暴力破解攻击、Sysmon 日志、Suricata 告警以及威胁狩猎。 ## 概述 使用 Splunk BOTS 数据集进行的安全运营中心 (SOC) 与威胁狩猎实操练习，旨在实践真实世界的安全调查与检测工程的工作流/查询。 ## 工具与数据源 * Splunk Enterprise * Sysmon * Suricata * Windows 事件日志 * DNS 日志 * 网络流量日志 ## 调查 | # | Investigation | Focus Area | Status | | -- | --------------------------------------- | -------------------------------- | -------- | | 01 | BOTS v1 - Web Brute Force Investigation | Joomla, HTTP, Credential Attacks | Complete | | 02 | BOTS v1 - Ransomware Investigation | Cerber, DNS, Sysmon, Suricata | Complete |

标签：Boss of the SOC, BOTS, Cerber勒索软件, DNS分析, IP 地址批量处理, Joomla, Metaprompt, Splunk查询, Suricata, Sysmon, Web暴力破解, Windows事件日志, 免杀技术, 凭证攻击, 勒索软件分析, 安全取证, 安全实验室, 安全日志分析, 安全运营中心, 恶意软件调查, 数据集演练, 暴力破解检测, 现代安全运营, 红队行动, 网络安全, 网络映射, 网络流量分析, 隐私保护