Suga-thamil/splunk-threat-finder

# Splunk 威胁搜索器 v2.0 ## 概述 Splunk Threat Finder 是一款基于 Python 的网络安全威胁分析工具，旨在从日志数据中检测可疑活动并生成分析师友好的事件报告。 该项目通过识别常见的攻击技术、提取威胁情报（IOC）、将检测映射到 MITRE ATT&CK 技术以及生成调查指南来模拟安全运营中心（SOC）的工作流程。 ## 关键成就 开发了一个基于 Python 的威胁检测框架，能够识别暴力破解攻击、密码喷射、PowerShell 执行和恶意 IP 活动，同时生成与 MITRE ATT&CK 技术映射的 SOC 风格事件报告。 ## 功能 ### 威胁检测 * 暴力破解后成功登录 * 密码喷射检测 * PowerShell 执行检测 * 已知恶意 IP 检测 ### 威胁分析 * MITRE ATT&CK 映射 * IOC 提取 * 风险评分 * 严重程度分类 * 优先级分类（P1–P4） ### 报告 * 执行摘要 * 威胁统计 * 严重程度分布 * 优先级分布 * 分析师结论 * IOC 摘要 * 时间线重建 * 调查剧本 ## MITRE ATT&CK 技术方法 | 技术ID | 技术方法 | | ------------ | ---------------------- | | T1110 | 暴力破解 | | T1110.003 | 密码喷射 | | T1059.001 | PowerShell | | T1047 | Windows 管理规范 (WMI) ## 样本检测 ### 暴力破解攻击 该工具检测到多个失败的登录尝试，随后同一 IP 地址成功登录。 ### 密码喷射 该工具识别出单个 IP 地址尝试对多个用户帐户进行身份验证。 ### PowerShell 执行 该工具标记 PowerShell 执行事件供分析师审查。 ### 已知恶意 IP 该工具将源 IP 地址与威胁情报列表进行比较，并为匹配项生成警报。 ## 输出示例 生成的报告包括： * 执行摘要 * 威胁统计 * 严重程度分布 * 优先级分布 * 事件摘要 * IOC 摘要 * 时间线 * 威胁发现 * 调查剧本 ## 使用的技术 * Python * CSV 日志分析 * Splunk 企业版 * SPL（搜索处理语言） * MITRE ATT&CK 框架 ## 展示的技能 * 威胁狩猎 * 安全监控 * 日志分析 * 事件调查 * IOC 识别 * MITRE ATT&CK 映射 * Splunk SPL 开发 * 安全报告 * 勒索软件分析 * SOC 工作流程模拟 ## 在 Splunk 中的验证 使用 Splunk 企业版验证了检测，方法如下： * 导入样本日志数据集 * 运行 SPL 搜索 * 重建攻击时间线 * 执行 IOC 分析 * 调查勒索软件式活动 ## 威胁狩猎场景 ### 场景 1：密码喷射检测 **目标：** 识别单个源 IP 尝试对多个用户帐户进行身份验证。 **SPL 查询** ``` source="sample_logs.csv" action="failure" | stats dc(user) as unique_users values(user) as users by src_ip | where unique_users >= 3 ``` **发现：** 源 IP `192.168.1.99` 产生了针对以下用户的失败登录尝试： * alice * bob * charlie 这种行为与密码喷射攻击一致。 ### 场景 2：PowerShell 执行检测 **目标：** 检测可能表明恶意执行的 PowerShell 活动。 **SPL 查询** ``` source="sample_logs.csv" process="powershell.exe" ``` **发现：** 用户 `john` 从源 IP `192.168.1.20` 执行了 `powershell.exe`。 PowerShell 通常被攻击者滥用进行后渗透活动。 ### 场景 3：勒索软件活动调查 **目标：** 重建勒索软件执行链。 **SPL 查询** ``` source="ransomware_logs.csv" | table timestamp process ``` **观察到的进程序列：** 1. powershell.exe 2. certutil.exe 3. vssadmin.exe 4. wmic.exe 5. rclone.exe 6. encrypted_files **发现：** 进程序列类似于常见的勒索软件行为，包括有效载荷下载、影子副本删除、系统发现、数据暂存和文件加密。 ### 场景 4：IOC 关联 **目标：** 将可疑进程关联到受影响的宿主。 **SPL 查询** ``` source="ransomware_logs.csv" | stats values(process) as processes by src_ip ``` ## 检测逻辑 ### 暴力破解检测 - 检测 5+ 次失败的登录尝试后成功登录。 - 映射到 MITRE ATT&CK T1110。 ### 密码喷射检测 - 检测单个 IP 尝试对多个用户进行身份验证。 - 映射到 MITRE ATT&CK T1110.003。 ### PowerShell 执行检测 - 检测可疑的 PowerShell 活动。 - 映射到 MITRE ATT&CK T1059.001。 ### 恶意 IP 检测 - 将源 IP 与已知恶意指标关联。 **发现：** 宿主 `192.168.1.50` 执行了与勒索软件活动相关的多个可疑进程，并被识别为受影响的系统。 ## 未来改进 * HTML 仪表板报告 * Windows 事件日志支持 * 自动化 Splunk 警报生成 * 威胁情报 API 集成 * 高级行为分析 * Sigma 规则支持 * Elastic SIEM 集成 ## 架构 ``` Log Files (CSV) ↓ Python Parser ↓ Threat Detection Engine ↓ MITRE ATT&CK Mapping ↓ IOC Extraction ↓ Risk Scoring ↓ Report Generation ↓ Splunk Validation ``` ## 安装 git clone https://github.com/Suga-thamil/splunk-threat-finder.git cd splunk-threat-finder python analyzer.py ## 截图 ### 执行摘要  ### 分析师结论  ### IOC 摘要  ### 威胁统计  ## 作者 网络安全投资组合项目 旨在展示 SOC 操作、威胁狩猎、事件调查、Splunk 分析和 MITRE ATT&CK 映射。

标签：AMSI绕过, ATT&CK框架, OpenCanary, PowerShell活动, Python开发, 严重性分类, 事件报告, 优先级分类, 勒索软件指标, 威胁分析, 威胁情报, 威胁检测, 安全运营中心, 密码喷洒攻击, 开发者工具, 恶意IP检测, 暴力破解攻击, 网络安全, 网络映射, 自动化侦查工具, 调查指南, 逆向工具, 速率限制, 隐私保护, 风险评分