YLi2000/BOTSv3-Taedonggang-APT-Investigation

# BOTSv3 Taedonggang APT 调查 ## 🎯 项目概述 针对 Frothly 酿酒公司的高级持续性威胁（APT）活动的深度威胁狩猎和事件响应分析。本调查使用 Splunk Boss of the SOC v3（BOTSv3）数据集来展示全面的 SOC 分析能力、检测工程和威胁情报集成。 **状态**：🔄 调查进行中（开始时间：2026年6月1日） ## 📊 数据集信息 - **数据集**：Splunk BOTS v3（Boss of the SOC v3） - **场景**：针对 Frothly 组织的 Taedonggang APT 活动 - **时间范围**：2018年8月20日（24小时窗口） - **环境**：混合云（AWS + 原地），Windows 端点，Linux 服务器，Office 365 - **数据量**：来自 25+ 数据源的安全遥测数据约 12GB ## 🔍 调查目标 1. **重建完整的攻击时间线**从初始访问到数据泄露 2. **将对手的策略和技术映射到 MITRE ATT&CK 框架** 3. **提取和记录损害指标（IOCs）** 4. **开发检测规则**以识别类似的攻击 5. **提供可操作的修复建议** ## 🛠️ 工具与技术 - **SIEM 平台**：Splunk Enterprise - **查询语言**：SPL（Splunk 处理语言） - **框架**：MITRE ATT&CK 导航器 - **检测规则**：Splunk 关联搜索，Sigma 规则 - **文档**：Markdown，截图，时间线分析 ## 📁 仓库结构 ├── evidence/ │ ├── screenshots/ # 调查截图 │ ├── queries/ # 调查中使用的 SPL 查询 │ └── iocs/ # 提取的损害指标 ├── analysis/ │ ├── timeline.md # 攻击时间线重建 │ ├── attck-mapping.md # MITRE ATT&CK 技术映射 │ └── findings/ # 攻击阶段详细发现 ├── detection-rules/ │ ├── splunk/ # Splunk 关联搜索 │ └── sigma/ # 多 SIEM 的 Sigma 规则格式 └── artifacts/ ├── attck-navigator.json # ATT&CK 导航器层 └── ioc-list.csv # 综合IOC列表 ## 📝 调查日志 | 日期 | 阶段 | 活动 | |------|-------|----------| | 2026-06-01 | 设置 | 仓库初始化，创建文件夹结构 | | TBD | 探测 | 数据集探索和 sourcetype 分析 | | TBD | 初始访问 | 确定钓鱼向量入口点 | | TBD | 执行 | 分析恶意软件执行和有效载荷交付 | | TBD | 持久化 | 记录持久化机制 | | TBD | 提权 | 识别提升技术 CVE | | TBD | 横向移动 | 绘制对手在网络中的移动 | | TBD | 收集与泄露 | 记录数据盗窃活动 | | TBD | 检测工程 | 创建检测规则和警报 | ## 🎓 背景 & 环境 作为一名拥有多年企业安全运营经验的 SOC 分析师，我进行这项调查是为了： - 展示高级威胁狩猎和事件响应能力 - 建立与 Splunk 和西方安全数据集的实战经验 - 开发与 MITRE ATT&CK 框架一致的检测工程内容 - 展示针对加拿大网络安全市场的分析方法 该项目补充了我的 SIEM 运营、事件响应和安全自动化方面的专业经验。 ## 📚 资源 & 参考 - [Splunk BOTS v3 数据集](https://github.com/splunk/botsv3) - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [Sigma 规则仓库](https://github.com/SigmaHQ/sigma) ## 📫 联系 **李毅** | 加拿大阿尔伯塔省卡尔加里 📧 邮箱：ericliyi3000@hotmail.com 💼 领英：https://www.linkedin.com/in/ethan1387/ **许可**：本分析用于教育和作品集目的，使用公开可用的安全数据集。