iamgrandeur1/http-threat-hunting-splunk

# 使用 Splunk 进行 HTTP 威胁狩猎与 Web 攻击检测 ## 概述 本项目重点在于分析 Splunk 中的 Zeek HTTP 日志，以识别可疑的 Web 活动、漏洞利用尝试以及基于 Web 的攻击指标。 本次调查涉及解析 HTTP 流量、审查请求行为，并识别通常与侦察和漏洞利用尝试相关的恶意 URI 模式。 ## 目标 使用 Splunk 执行 HTTP 威胁狩猎，并识别表明攻击者行为的可疑 Web 请求。 ## 实验环境 http-threat-hunting-splunk - **日志来源：** Zeek (`http.log`) - **SIEM：** Splunk - **环境：** 虚拟实验室 (Kali Linux + VirtualBox) ## 数据集 HTTP 日志包含： - 客户端 IP 地址 - 目标 Web 服务器 - HTTP 方法 - 请求的 URI - User-Agent 字符串 - HTTP 状态码 ## 检测方法 ### 1. HTTP 日志接入 - 将 HTTP 日志上传至 Splunk - 分配自定义 sourcetype：`zeek_http` - 验证事件解析成功 ### 2. 可疑请求狩猎 使用 Splunk SPL 识别可疑的 URI 模式和潜在的漏洞利用尝试。 ``` index=main sourcetype=zeek_http | search _raw="*passwd*" OR _raw="*phpmyadmin*" OR _raw="*../*" | table _time id.orig_h id.resp_h method uri user_agent status_code ``` ## 分析与发现 ### 观察到的可疑活动 调查发现了多个可疑的 Web 请求，包括： - 目录遍历尝试 - 针对 `/etc/passwd` 的请求 - phpMyAdmin 枚举尝试 - 可疑的 JSP 和 PHP 请求 - Web 侦察行为 ### 示例指标 观察到的可疑 URI 示例： ``` ../../../../../../../../etc/passwd ``` ``` /phpmyadmin/admin/general.php ``` 这些请求通常与以下内容相关： - Web 漏洞利用尝试 - 漏洞扫描 - 未授权访问尝试 - 侦察活动 ## SOC 洞察 HTTP 流量分析对于识别早期攻击活动至关重要。 诸如目录遍历尝试和针对管理页面的访问等指标，可以揭示： - 自动化扫描器 - 漏洞利用框架 - 攻击者侦察 - 脆弱应用探测 适当的日志可见性使分析师能够在威胁升级前检测到可疑行为。 ## 关键要点 威胁狩猎不仅限于恶意软件检测。 分析 Web 流量和可疑 HTTP 请求，能够为深入了解攻击者行为和基础设施目标提供有价值的可见性。 ## 后续步骤 - 将 HTTP 活动与 DNS 请求进行关联 - 识别可疑的 User-Agent 行为 - 构建 HTTP 异常仪表板 - 为漏洞利用指标开发 Splunk 告警 - 扩展 Web 攻击的检测覆盖范围 ## 样例输出 在此处添加显示以下内容的截图： - 可疑 HTTP 请求 - 针对 `/etc/passwd` 的访问 - phpMyAdmin 请求 - Splunk 威胁狩猎查询 示例： ```  ``` ## 展示技能 - Splunk SPL - Threat Hunting - HTTP Traffic Analysis - Detection Engineering - Log Parsing - Web Attack Detection - SOC Investigation - Zeek Log Analysis - Cybersecurity Monitoring

标签：CISA项目, Claude, CVE检测, HTTP流量分析, PFX证书, phpMyAdmin, Rootkit, SPL查询, VirtualBox, Web安全, Web攻击, XXE攻击, Zeek, 安全运营中心, 密码管理, 库, 应急响应, 攻击检测, 流量监控, 网络安全, 网络安全审计, 网络映射, 蓝队分析, 虚拟实验室, 隐私保护