saiganeshvoggu/threat-hunting-labs

# 威胁狩猎实验室 该仓库包含实操性的 SOC Analyst 威胁狩猎实验室、检测笔记、SPL 查询、Sysmon 分析、IOC 调查工作流、邮件安全分析以及事件报告模板。 该仓库的目标是展示面向 SOC Analyst、Cybersecurity Analyst 和 Threat Detection 岗位的实用蓝队技能。 ## 当前状态 | 阶段 | 实验室 | 状态 | |---|---|---| | 阶段 1 | Splunk + Sysmon 集成 | 已完成 | | 阶段 1 | 基础威胁狩猎查询 | 已完成 | | 阶段 2 | 邮件头分析 | 已完成 | | 阶段 2 | 钓鱼调查与 SOC 告警分诊 | 进行中 | | 阶段 3 | Windows 取证 | 已计划 | | 阶段 4 | MITRE ATT&CK 映射 | 已计划 | | 阶段 5 | Microsoft Sentinel | 已计划 | ## 展示技能 - Splunk 日志摄取验证 - Sysmon endpoint telemetry 分析 - SPL 查询编写 - Windows 进程创建调查 - PowerShell 和命令行狩猎 - Living-off-the-land binary 检测逻辑 - 邮件头分析 - SPF, DKIM 和 DMARC 审查 - MXToolbox 邮件头分析 - SOC 调查文档编写 - MITRE ATT&CK 映射基础 - 事件报告撰写 ## 仓库结构 | 文件夹 | 用途 | |---|---| | `Splunk/` | SPL 查询、Splunk 集成笔记和狩猎示例 | | `Sysmon/` | Sysmon event ID、事件分析和 Windows telemetry 笔记 | | `Phishing-Investigation/` | 邮件安全、邮件头分析、SPF/DKIM/DMARC 笔记和钓鱼案例研究 | | `IOC-Analysis/` | 针对 IP、domain、hash 和 URL 的 indicator 调查模板 | | `MITRE-ATTACK/` | 威胁狩猎与 MITRE ATT&CK 战术和技术的映射 | | `Reports/` | SOC 风格的调查报告和实验室摘要 | ## 已完成的实验室：Splunk + Sysmon 集成 ### 目标 将 Microsoft Sysmon endpoint telemetry 与 Splunk 集成，并验证日志是否可搜索以进行威胁狩猎。 ### 使用的工具 - Splunk Enterprise - Microsoft Sysmon - Windows Event Logs - SPL Search Processing Language ### 主要数据源 ``` Microsoft-Windows-Sysmon/Operational ``` ### Splunk Sourcetype ``` XmlWinEventLog:Microsoft-Windows-Sysmon/Operational ``` ### 验证搜索 ``` index=main sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ``` ### 实践的关键事件 Sysmon Event ID 1 - Process Creation 此事件可帮助分析师调查进程执行、命令行活动以及父子进程关系。 ## 已完成的实验室：邮件头分析 ### 目标 使用 Gmail Show Original 和 MXToolbox Email Header Analyzer 分析真实的邮件头。 ### 使用的工具 - Gmail Show Original - MXToolbox Email Header Analyzer - 手动邮件头审查 ### 实践的概念 - From 和 Reply-To 审查 - Return-Path 审查 - SPF 审查 - DKIM 审查 - DMARC 审查 - Relay path 审查 - Delivery delay 审查 - 撰写最终的 SOC 风格判定结论 ## 重要文件 | 文件 | 描述 | |---|---| | `Splunk/splunk-basics.md` | 基础的 Splunk 概念和 SPL 命令 | | `Splunk/splunk-sysmon-integration.md` | Splunk + Sysmon 设置和验证文档 | | `Splunk/threat-hunting-queries.md` | 用于 SOC 威胁狩猎的实用 SPL 查询 | | `Sysmon/sysmon-basics.md` | 已验证的 Sysmon 基础知识和 SOC 用法笔记 | | `Sysmon/event-id-1-process-creation.md` | Event ID 1 process creation 调查指南 | | `Phishing-Investigation/email-fundamentals-spf-dkim-dmarc.md` | 邮件安全基础知识 | | `Phishing-Investigation/email-header-analysis.md` | 邮件头分析工作流 | | `Phishing-Investigation/spf-dkim-dmarc.md` | SPF, DKIM 和 DMARC 笔记 | | `Phishing-Investigation/case-study-apify-email-header.md` | 经过脱敏处理的邮件头案例研究 | | `Reports/phase-1-splunk-sysmon-verification.md` | 已验证的阶段 1 实验室报告 | ## 狩猎查询示例 ``` index=main sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | rex "(?[^<]+)" | stats count by ImagePath | sort - count ``` ## 简历影响 该仓库支持以下简历条目： ## 免责声明 所有内容均出于教育和作品集展示目的而创建。不包含任何机密、专有、客户、员工或内部公司数据。

标签：Sysmon, 安全运营, 扫描框架, 数字取证, 电子邮件安全, 网络信息收集, 自动化脚本