syedalz/splunk-threat-hunting-lab

# Splunk 威胁狩猎实验室 一个动手实验室，用于在 Splunk 中构建和验证 Windows 威胁狩猎检测。每个检测都映射到 MITRE ATT&CK 框架，并附有假设文档，并针对 EVTX-ATTACK-SAMPLES 数据集中的真实攻击遥测数据进行验证。 ## 环境 - **SIEM:** Splunk Enterprise (单主机安装) - **数据源:** Windows 事件日志（Sysmon + 安全），sourcetype `XmlWinEventLog` - **验证数据集:** [EVTX-ATTACK-SAMPLES](https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES) - **框架:** MITRE ATT&CK ## 检测 ### 1. 脚本引擎从 Temp 启动可执行文件 **MITRE ATT&CK:** T1059 (命令和脚本解释器), T1204 (用户执行) **假设:** 嵌入存档中的恶意软件通常会被解压缩到用户 Temp 目录，并由脚本宿主（cscript/wscript）执行。从 `\Temp\` 路径执行且父进程为脚本引擎的进程是脚本有效载荷执行的置信度高的指标。 **检测逻辑 (SPL):** ``` index=attack EventCode=1 Image="*Temp*" (ParentImage="*cscript.exe" OR ParentImage="*wscript.exe") | table _time, ParentImage, Image, CommandLine ``` **验证:** `sysmon_zipexec.evtx` **结果:** 正确标记了从 `C:\Users\bouss\AppData\Local\Temp\Temp3_lync.zip\` 执行的 `i.exe`，该恶意有效载荷是从受密码保护的存档中解包的。样本中没有误报。 **攻击链重建 (进程谱系):** ``` cmd.exe └─ cscript.exe (testme.js) Trigger: JScript executed via script engine ├─ cmdkey.exe /generic /pass Setup: store credential to open protected zip ├─ i.exe (from Temp) Payload: malware executed <-- DETECTED └─ cmdkey.exe /delete Cleanup: remove stored credential ``` **调整说明:** `Image="*Temp*"` 单独可能匹配从 Temp 运行的合法安装程序；需要脚本引擎的父进程可以提高准确性并减少误报。 ### 2. 将可执行文件写入 Temp 目录（恶意软件投放） **MITRE ATT&CK:** T1105 (工具传输), T1059.007 (JavaScript) **假设:** 通过脚本传递的恶意软件通常在执行前立即写入（“投放”）到用户 Temp 目录。由脚本引擎在 `\Temp\` 路径创建的可执行文件是恶意软件投放的置信度高的指标。 **检测逻辑 (SPL):** ``` index=attack EventCode=11 TargetFilename="*Temp*" TargetFilename="*.exe" | table _time, Image, TargetFilename ``` **验证:** `sysmon_zipexec.evtx` **结果:** 正确标记了由 `cscript.exe` 写入到 `C:\Users\bouss\AppData\Local\Temp\Temp3_lync.zip\` 的 `i.exe`，在执行之前（参见检测 1）。 **为什么它与检测 1 配对:** EventCode 11 捕获文件被 *投放*；EventCode 1 捕获相同的文件被 *执行*。它们共同从两个独立的日志源重建了“投放和执行”模式——比单独任何一个都更强有力的、相互印证的检测。

标签：Cloudflare, DAST, MITRE ATT&CK, PFX证书, Sysmon, Windows 事件日志, XML 请求, 威胁情报, 安全事件响应, 安全实验室, 安全开发, 安全情报, 安全日志, 安全测试, 开发者工具, 恶意软件分析, 搜索语句（dork）, 攻击性安全, 攻击检测, 攻击链分析, 数据验证, 脚本执行