Mosec2525/learn-soc-with-me-lab-07-dns-reverse-lookup-recon

# 跟我学 SOC - 实验 07 ## DNS 反向查找侦察 本实验是一个基于 Zeek DNS 日志构建的 Splunk 调查挑战。分析师的目标是发现可疑的 DNS 行为，解释证据，并将该活动映射到 MITRE ATT&CK，同时避免仅凭 DNS 日志做出过度推断。 在线实验页面：https://mosec2525.github.io/learn-soc-with-me-lab-07-dns-reverse-lookup-recon/ ## 场景 来自内部网络的 DNS 日志包含大量正常的解析器活动，并混杂着失败的 DNS 请求。你的任务是在 Splunk 中调查数据，并判断是否有主机表现出与反向 DNS 枚举或内部发现一致的行为。 ## 你将练习的内容 - 将压缩的 Zeek DNS 日志导入 Splunk - 使用 SPL 提取 Zeek DNS 字段 - 分析顶级 DNS 客户端和响应者的基线 - 搜寻 NXDOMAIN 数量和唯一的失败查询计数 - 识别可疑的 PTR 反向查找模式 - 编写带有 MITRE 映射的严谨 SOC 结论 ## 数据集 从实验页面或从此处下载数据集： ``` data/dns.log.gz ``` 该文件是一个压缩的 Zeek/Bro DNS 日志，专为防御性调查练习而设计。 ## 预期发现 最明显的线索是 `192.168.202.138`。该主机产生了大量的 NXDOMAIN 活动，特别是失败的 PTR 反向 DNS 查找。这支持了可疑活动的判定，并主要映射到 `T1018 - Remote System Discovery`。 仅凭 DNS 数据并不能证明系统被入侵。正确的分析师建议是将其与 DHCP、资产清单、端点遥测、防火墙日志和 Zeek 连接日志进行关联分析。 ## 仓库结构 ``` . |-- index.html |-- style.css |-- app.js |-- data/ | `-- dns.log.gz |-- detections/ | |-- splunk/ | | `-- dns_reverse_lookup_recon.spl | `-- sigma/ | `-- high_ptr_nxdomain_volume.yml |-- docs/ | `-- answer-key.md |-- resources/ | `-- references.md `-- SECURITY.md ``` ## MITRE ATT&CK 主要技术： - `T1018 - Remote System Discovery` 辅助分析领域： - `T1016 - System Network Configuration Discovery` - `T1046 - Network Service Discovery` `T1071.004 - DNS` 为 DNS 滥用提供了有用的上下文，但本实验并未体现 DNS 命令与控制（C2）或 DNS 隧道。 ## 如何使用 1. 打开在线实验页面。 2. 下载 `dns.log.gz`。 3. 将其导入 Splunk。 4. 使用 `detections/splunk/dns_reverse_lookup_recon.spl` 中的 SPL 入门指南。 5. 仅在卡住时才查看提示。 6. 在完成自己的调查后才查看最终结果。 ## 安全提示 这是一个防御性实验。在此练习中，请勿对真实系统执行主动扫描。

标签：Rootkit, SOC分析, Zeek, 后端开发, 多模态安全, 安全, 数据可视化, 网络安全靶场, 超时处理