Solberg-Cyber/BOTSv3-Threat-Hunt-Timelog

# BOTSv3 威胁狩猎时间日志 ## 相关资料： [基础 Splunk 威胁狩猎剧本](https://github.com/Solberg-Cyber/Foundational-Splunk-Playbook) 本仓库包含我对 BOTSv3（"Boss of the SOC"）数据集的调查日志，该数据集是一个包含约 210 万事件的分析模拟环境。 该项目的主要目标是通过实践重新熟悉威胁狩猎，精炼我的调查方法论，并处理真实遥测数据。除了重回实战状态外，这次狩猎也为以下三方面做了实际准备：真实 SOC 环境、蓝队一级（BTL1）认证以及 Splunk Core Core Certified User 认证路线。这只是一个开始；接下来，我计划先处理 BOTSv2 数据集，然后转向 Microsoft Sentinel，并朝着 SC-200 认证努力。 本日志有意保留了原始而真实的调查过程——包括初步假设、遥测转向、跟踪攻击者移动、验证可疑行为、识别立足点、排除误报以及实时处理死胡同。 本次调查与我的《基础 Splunk 威胁狩猎剧本》开发同步进行，该剧本为我的搜索和工作流提供了架构框架。剧本与这份日志相辅相成：剧本建立了理论方法论，而本时间线则展示了其实际应用。剧本可在[此处.](https://github.com/Solberg-Cyber/Foundational-Splunk-Playbook)找到。 调查本身以及高级持续性威胁（APT）场景聚焦于一个高度针对性的攻击活动，由被追踪为 Taedonggang（一个反映现实世界朝鲜国家支持团体的虚构威胁行为者）的复杂对手组织发起。为保持逼真度，他们模仿了 APT-3 的战术、技术与程序（TTP），包括使用 CTF 二进制文件作为攻击混淆手段的典型特征。Taedonggang 针对数据集反复受害者——Frothly 企业网络，通过欺骗性社会工程活动和 STRUTS Web 访问漏洞获取初始访问权限。 一旦进入内部，该组织便展现出高级操作手法，积极绕过安全控制——具体而言，禁用了 PowerShell 脚本块日志记录并击败了反恶意软件扫描接口（AMSI）——随后在 Windows 和 Linux 基础设施上执行未授权账户创建，建立持久命令与控制（C2）通道，并执行数据外泄。 经验教训：有一次，我的调查完全停滞——当线索直接指向 CloudTrail 时。由于没有云环境经验，那部分狩猎就此终止。未来，我会考取一些云认证来填补这一空白。此外，我在网络钓鱼、身份验证和攻击者横向移动方面也遇到了困难。未来我将在这方面下功夫。 此时间线有意保留了真实的调查过程，包括死胡同、修正结论和误报。 本次狩猎并未完成，大约完成 80%，有些方面仍有改进空间。不过，我仍对自己取得的进展感到满意。

标签：AI合规, BOTSv3, BurpSuite集成, DAST, 威胁情报, 安全运营中心, 开发者工具, 恶意软件分析, 检测与响应, 红队模拟, 网络安全, 网络映射, 调查方法, 隐私保护, 高级持续性威胁