braden-ray/Splunk-Detection-Engineering-Threat-Hunting-Lab

# Splunk 检测工程与威胁狩猎实验室 # 概述 本项目重点在于模拟的 Windows 企业环境中，使用 Splunk SIEM 进行实战威胁狩猎和检测工程。 在调查过程中，我分析了身份验证日志、PowerShell 活动和 Windows 安全遥测数据，以识别可疑行为、关联入侵指标 (IOC)，并开发基于 SPL 的检测逻辑。 该调查遵循以 SOC 风格为核心的工作流程，主要围绕： - 日志分析 - 事件关联 - 威胁狩猎 - 检测工程 - MITRE ATT&CK 映射 # 目标 - 使用 Splunk SPL 查询调查可疑活动 - 识别登录失败和暴力破解模式 - 分析可疑的 PowerShell 执行 - 关联入侵指标 (IOC) - 审查 Windows 身份验证和进程遥测 - 开发专注于检测的 SPL 查询 - 将观察到的行为映射到 MITRE ATT&CK 技术 - 记录调查结果和修复建议 # 使用的工具 - Splunk Enterprise - SPL (Search Processing Language) - Windows 事件日志 - Sysmon - Windows 安全日志 - MITRE ATT&CK 框架 - 虚拟机环境 # 实验室环境 - 基于 Windows 的虚拟机环境 - 配置了日志提取的 Splunk SIEM - 启用了 Windows 身份验证和进程遥测 - 模拟的企业级日志记录环境 # 调查领域 ## 身份验证分析 - 登录失败分析 - 可疑身份验证调查 - 暴力破解活动检测 ## PowerShell 与进程分析 - 可疑 PowerShell 执行分析 - 编码命令调查 - 父子进程分析 ## 威胁狩猎与 IOC 关联 - IOC 识别与验证 - 事件关联和时间线分析 - 可疑活动调查 # 计划的调查工作流 ## 1. 初始检测 - 审查提取的身份验证和进程日志 - 在 Splunk 中识别可疑活动模式 ## 2. 威胁狩猎与 SPL 分析 - 开发用于检测可疑活动的 SPL 查询 - 调查 PowerShell 和身份验证事件 - 跨日志源关联可疑指标 ## 3. 事件关联与发现 - 关联身份验证和进程遥测 - 验证可疑行为和 IOC 活动 - 记录调查结果 # MITRE ATT&CK 映射 - T1110 — Brute Force - T1059.001 — PowerShell - T1087 — Account Discovery - T1055 — Process Injection # 截图 ### Splunk 数据提取  ### 登录失败事件  ### 登录失败调查表  ### 暴力破解检测查询  ### PowerShell 活动检测  ### 编码 PowerShell 狩猎  ### 可疑进程分析  ### MITRE 技术关联  # 展示的技能 - 威胁狩猎 - SIEM 调查 - 检测工程 - SPL 查询开发 - IOC 关联 - Windows 日志分析 - 安全事件分析 - MITRE ATT&CK 映射 - 事件记录

标签：BurpSuite集成, Cloudflare, DNS 反向解析, MITRE ATT&CK, OpenCanary, 安全运营, 扫描框架, 红队行动