Micun028/splunk-dns-threat-hunting

# Splunk DNS 威胁狩猎 – DGA、DNS 隧道、可疑顶级域名 **数据源**：真实家庭 DNS 日志（Pi-hole/AdGuard）。 **工具**：Splunk（SPL 查询）。 **MITRE**：T1071.004（DNS），T1568.002（DGA）。 ## 包含的查询 - `dga_entropy.spl` – 高熵子域名 - `dns_tunneling.spl` – 长TXT响应或高查询率 - `suspicious_tlds.spl` – 对 .top、.xyz、.tk 等的警报 ## 示例 SPL（DGA 检测） ``` index=dns sourcetype=dns_query | eval len = len(query) | where len > 20 | stats count by query, src_ip | where count > 5 | table query, src_ip, count ```

标签：AdGuard, DNS 安全, DNS 查询, DNS 漏洞, DNS 隧道, Pi-hole, SEO 关键词, SPL 查询, TXT 响应, 可疑顶级域名, 域名生成算法, 数据源, 查询计数, 查询速率, 源 IP, 熵, 网络安全, 隐私保护