drdre4664/splunk-threat-detection-lab

# Splunk 威胁检测实验室 ## 概述 一个使用 Splunk 摄取、分析和检测威胁的实战安全检测实验室，涵盖跨电子邮件、身份验证、端点和网络日志的分析。包含基于真实攻击场景的 SPL 检测规则、钓鱼破坏模块、威胁狩猎手册以及正式的事件报告。 ## 涵盖的检测场景 ### 钓鱼破坏（电子邮件安全） - 电子邮件身份验证失败检测（SPF / DKIM / DMARC） - 仿冒/相似域名冒充 - 显示名称欺骗与 CEO 欺诈（BEC） - 可疑 URL（IP 地址链接、URL 缩短服务） - 凭证收集/紧急性诱导语言 - 钓鱼**活动扇出**检测 - 组合**风险评分**模型（REVIEW / QUARANTINE / BLOCK） ### 端点与身份威胁 - 暴力破解身份验证攻击 - 权限提升 - 横向移动 ## 仓库结构 - `detection-rules/` — 针对每个检测场景的 SPL 查询 - `sample-logs/` — 示例日志数据（邮件网关 + 身份验证日志） - `incident-reports/` — 包含发现结果和补救措施的正式事件报告 - `docs/` — 检测逻辑说明 + 威胁狩猎手册 ## 使用的工具 - Splunk Enterprise（通过 Docker 运行） - SPL (Splunk Processing Language) - 邮件网关日志、Linux 身份验证日志、Windows 事件日志、Sysmon ## 展示的技能 - 钓鱼检测与破坏逻辑工程 - SIEM 日志摄取与解析 - 检测规则工程（regex、评分模型） - 电子邮件身份验证分析（SPF/DKIM/DMARC） - 威胁狩猎与活动识别 - 事件响应文档记录 - 跨多个来源的日志关联 - MITRE ATT&CK 映射 ## 如何运行（Docker 中的 Splunk） ``` # 启动 Splunk docker run -d -p 8000:8000 -e SPLUNK_START_ARGS='--accept-license' \ -e SPLUNK_PASSWORD='Splunk123!' --name splunk splunk/splunk:latest # 打开 http://localhost:8000 (admin / Splunk123!) # Settings > Add Data > Upload > 从 sample-logs/ 中选择一个文件 # 设置 sourcetype，然后从 detection-rules/ 运行查询 ```

标签：Object Callbacks, PE 加载器, Web报告查看器, 安全实验环境, 安全运营, 扫描框架, 检测规则, 红队行动, 网络资产发现, 网络钓鱼, 请求拦截