ADZYYYY/splunk-threat-hunting-lab

## Splunk 威胁狩猎实验室 此存储库记录了我亲自动手的威胁狩猎和检测工程实验室。 ## 目标 构建一个实用的家庭实验室，使用 Splunk、Sysmon 和 Atomic Red Team 学习威胁狩猎、Windows 遥测和检测工程。 ## 当前实验室堆栈 - Splunk Enterprise Free（使用 Splunk Addons for Sysmon 和 Windows 帮助解析字段） - Ubuntu Server（托管 Splunk Enterprise） - Windows 11 企业评估版（受害者机器） - Splunk Universal Forwarder（在受害者机器上配置，以将日志发送到 Ubuntu Server） - Sysmon 与 Olaf Hartong 的 Sysmon Modular 配置（https://github.com/olafhartong/sysmon-modular） - Olaf Hartong 的 Sysmon 配置的 MITRE ATT&CK 映射 - Atomic Red Team 用于模拟威胁行为者（https://github.com/redcanaryco/atomic-red-team/tree/master） ## 计划狩猎 - H001 - 可疑 PowerShell 执行 - H002 - 账户发现 - H003 - 定时任务持久化 - H004 - 注册表运行键持久化 - H005 - 可疑下载工具 ## 目的 此存储库的目的是记录我的学习、检测、实验室设置、SPL 查询和威胁狩猎方法，随着我在事件响应、威胁狩猎、检测工程和安全自动化方面技能的深入发展。

标签：Libemu, 管理员页面发现