WiLL75G/soc-28-advanced-splunk-intelligence-platform

# SOC Tier 1 事件报告：高级Splunk智能平台 ## 事件摘要 - **项目类型：** 高级SIEM智能平台检测工程 + 威胁狩猎 - **严重性：** 战略级生产就绪SOC检测能力 - **范围：** 12个检测查询 + 4个威胁狩猎 + 完整狩猎剧本 - **使用的工具：** Splunk SPL、Sysmon、Windows事件日志、网络/代理日志 - **状态：** 完成高级检测平台交付 ## 执行摘要 高级Splunk智能平台是28天SOC分析师挑战的收官之作。它提供了一个完全使用SPL（Splunk处理语言）构建的生产就绪检测和威胁狩猎平台。构建了12个高级检测查询，涵盖了凭证攻击、执行技术、持久性、横向移动和数据泄露。制作了4个威胁狩猎剧本，涵盖了LOLBAS、凭证泄露、C2通信和内部威胁检测。每个查询都映射到MITRE ATT&CK，并包括调整指南和SOC分析师笔记。 ## 受影响系统 - **平台：** Splunk Enterprise - **组织：** Nexus Corp SOC - **检测覆盖范围：** 6个MITRE ATT&CK策略中的12种技术 - **威胁狩猎：** 4个主动狩猎场景 - **日志来源：** Windows事件、Sysmon、代理、防火墙、DNS、认证日志 ## 调查方法 ### 1. 检测查询库 12个生产SPL查询 构建并记录了6个攻击类别中的12个高级SPL检测查询。 每个查询都包含检测逻辑、调整指南和分析师笔记。 #### 类别1 → 凭证攻击检测 - 查询1：暴力破解检测与动态风险评分（T1110） - 查询2：通过唯一用户关联的密码喷射检测（T1110.003） - 查询3：通过IP地理定位的不可能旅行检测（T1078） #### 类别2 → 执行检测 - 查询4：PowerShell编码命令检测（T1059.001） - 查询5：LOLBAS执行检测 certutil、mshta、regsvr32（T1218） #### 类别3 → 持久性检测 - 查询6：注册表运行键修改检测（T1547.001） - 查询7：系统进程外创建计划任务（T1053.005） #### 类别4 → 横向移动检测 - 查询8：通过NTLM登录分析进行Pass-the-Hash检测（T1550.002） - 查询9：SMB管理员共享访问检测（T1021.002） #### 类别5 → 泄露检测 - 查询10：带有风险评分的大规模出站数据传输（T1041） #### 类别6 → 威胁狩猎查询 - 查询11：针对敏感进程的进程注入狩猎（T1055） - 查询12：通过连接规律性检测C2信标模式（T1071） #### SOC观察： - SPL中的动态风险评分让分析师可以优先处理，无需手动审查 - 密码喷射和暴力破解需要不同的检测逻辑，要了解它们的区别 - C2信标检测使用行为分析而不是签名，使其具有抗规避性 ### 2. 威胁狩猎剧本 → 4个狩猎场景 构建了一个完整的威胁狩猎剧本，包含4个结构化的狩猎场景。 每个狩猎场景都有一个假设、推理、SPL查询和文档模板。 #### 狩猎1 → 活在土地上（LOLBAS） - 假设：攻击者使用合法的Windows二进制文件来避免AV/EDR检测 - 关键技术：certutil.exe下载文件，mshta.exe执行远程脚本 - 预期结果：在干净环境中无结果，任何命中都是高优先级 #### 狩猎2 → 凭证泄露 - 假设：攻击者访问LSASS内存以收集凭证 - 关键技术：对lsass.exe的进程访问，卷影副本删除 - 预期结果：VSS删除 = 勒索软件即将到来，CRITICAL响应 #### 狩猎3 → C2通信 - 假设：受感染的端点通过加密通道向C2信标 - 关键技术：对新域的DNS查询，常规信标模式分析 - 预期结果：规律性评分 > 5 = 自动化行为 = C2候选 #### 狩猎4 → 内部威胁 - 假设：特权用户滥用访问权限进行大量数据下载或泄露 - 关键技术：大量文件下载分析，非工作时间访问模式检测 - 预期结果：非工作时间登录 + 大量下载 = 高优先级调查 #### SOC观察： - 威胁狩猎是主动的，它找到了警报遗漏的内容 - 每个狩猎场景都以假设开始，而不是查询 - 记录无结果的狩猎与记录已确认的威胁一样重要 - 威胁狩猎日历将临时狩猎转变为系统化计划 ## MITRE ATT&CK 覆盖图 | 策略 | 技术ID | 技术 | 查询/狩猎 | |---|---|---|---| | 凭证访问 | T1110 | 暴力破解 | 查询1 | | 凭证访问 | T1110.003 | 密码喷射 | 查询2 | | 初始访问 | T1078 | 有效账户 | 查询3 | | 执行 | T1059.001 | PowerShell | 查询4 | | 执行 | T1218 | LOLBAS | 查询5, 狩猎1 | | 持久性 | T1547.001 | 注册表运行键 | 查询6 | | 持久性 | T1053.005 | 计划任务 | 查询7 | | 横向移动 | T1550.002 | Pass-the-Hash | 查询8 | | 横向移动 | T1021.002 | SMB管理员共享 | 查询9 | | 泄露 | T1041 | 通过C2的泄露 | 查询10 | | 防御规避 | T1055 | 进程注入 | 查询11, 狩猎2 | | 命令与控制 | T1071 | C2信标 | 查询12, 狩猎3 | | 收集 | T1486 | VSS删除 | 狩猎2 | | 泄露 | T1052 | 内部泄露 | 狩猎4 | ## SOC分析师发现 - 构建并记录了12个生产就绪的SPL检测查询 - 实现了动态风险评分，分析师无需手动审查即可看到优先级 - 使用不同的关联逻辑检测密码喷射和暴力破解 - C2信标检测使用行为分析，具有抗签名规避性 - 记录了4个威胁狩猎场景，包含完整的SPL查询和分析师笔记 - 建立了威胁狩猎日历，包括每日、每周和每月狩猎计划 ## SOC分析师响应 - 构建了涵盖6个MITRE ATT&CK策略的完整Splunk检测库 - 在暴力破解和泄露查询中实现了动态风险评分 - 制作了4个威胁狩猎剧本，采用结构化、假设驱动的方法论 - 建立了威胁狩猎日历，将临时狩猎转变为系统化计划 - 为每个查询制作了调整指南，以降低误报率 - 为每个狩猎制作了文档模板，每个狩猎都是合规的证据 ## 分析师洞察 这个平台代表了28天挑战的全过程。第1天从Splunk中的SSH暴力破解检测开始。第28天以涵盖14个MITRE ATT&CK技术和6个策略的生产就绪检测和威胁狩猎平台结束。SOC分析师和检测工程师的区别在于：分析师响应平台告诉他们的事情。检测工程师构建告诉他们的事情的平台。经过28天的构建、记录和狩猎，你不再只是一个分析师。你是一个可以构建其他分析师依赖的工具的人。 ## 学习成果 - 编写具有动态风险评分和统计关联的高级SPL查询 - 检测凭证攻击：暴力破解、密码喷射、不可能旅行、Pass-the-Hash - 检测执行技术：PowerShell编码、LOLBAS滥用 - 检测持久性：注册表运行键、计划任务 - 检测横向移动：Pass-the-Hash、SMB管理员共享 - 检测泄露：大规模出站传输、C2信标 - 使用假设驱动的方法定义和执行结构化威胁狩猎 - 将MITRE ATT&CK框架应用于检测工程 ## 仓库结构 ``` soc-28-advanced-splunk-intelligence-platform/ ├── README.md ├── queries/ │ └── detection_queries.md ├── playbooks/ │ └── threat_hunting_playbook.md └── dashboards/ ``` ## 28天SOC投资组合完成 这个项目是28天SOC分析师投资组合的最后一部分，涵盖了角色的每个维度： ``` Days 1–6 Foundation → Linux, Networking, SIEM basics Days 7–12 Detection → Malware analysis, Splunk, MITRE ATT&CK Days 13–18 Investigation → PowerShell, Wireshark, Vulnerability scanning Days 19–21 Career → Job search, Interview prep, EDR Days 22–25 Advanced → Zero Trust, DFIR, Threat Modeling Days 26–28 Leadership → Metrics, Compliance, Detection Engineering ``` 28个项目。28个GitHub仓库。一个投资组合，证明了Tier 1和Tier 2级别的SOC就绪性。 ## 结论 高级Splunk智能平台提供了12个生产就绪的检测查询和4个威胁狩猎剧本，这是成熟SOC检测计划的技术基础。每个查询都映射到MITRE ATT&CK，并附有调整指南，用于实际部署。这个最终项目展示了从第1天编写基本SPL查询到第28天构建检测工程平台的完整SOC分析师技能集。

标签：C2 检测, Cloudflare, DNS 日志, MITRE ATT&CK, OpenCanary, SPL 查询, Sysmon, URL发现, Windows 事件日志, 代理日志, 内部威胁, 凭证攻击, 威胁情报, 威胁狩猎剧本, 安全事件响应, 安全检测, 安全运营中心, 开发者工具, 横向移动, 生产就绪, 编程规范, 网络日志, 网络映射, 身份验证日志, 高级检测平台