tahosprojects/endpoint-forensics-splunk-threat-hunting
GitHub: tahosprojects/endpoint-forensics-splunk-threat-hunting
基于 Velociraptor 与 Splunk 构建的终端取证与威胁狩猎实验环境,演示了从终端工件收集到 SIEM 日志分析的完整安全运营工作流。
Stars: 0 | Forks: 0
# 终端取证与威胁狩猎实验室
## Velociraptor + Splunk Enterprise
本项目演示了使用 Velociraptor 和 Splunk Enterprise 进行终端监控、工件收集和威胁狩猎。一台托管在 AWS EC2 上的 Windows Server 2022 终端被注册到 Velociraptor 中,进行远程监控,并与 Splunk 集成以实现集中化的日志收集和分析。
本实验室的目标是获得关于终端可见性、进程分析、PowerShell 监控以及基于 SIEM 的威胁狩猎工作流的实践经验。
## 展示技能
* 终端检测与响应 (EDR)
* Velociraptor 部署与客户端注册
* 工件收集与分析
* VQL (Velociraptor Query Language)
* 进程层级分析
* Splunk Enterprise 管理
* Windows 事件日志分析
* PowerShell 监控
* 威胁狩猎
* 安全运营中心 (SOC) 工作流
* 终端遥测调查
## 使用工具
| 工具 | 用途 |
| -------------------------- | ------------------------------------------- |
| Velociraptor | 终端监控与工件收集 |
| Splunk Enterprise | SIEM 与日志分析 |
| Splunk Universal Forwarder | Windows 日志转发 |
| AWS EC2 | 远程 Windows Server 环境 |
| Windows Server 2022 | 受调查终端 |
| PowerShell | 管理与事件生成 |
| VQL | 终端工件查询 |
## 实验室环境
该环境包括:
* 本地 Velociraptor 服务器
* AWS EC2 Windows Server 2022 终端
* Splunk Enterprise 实例
* Splunk Universal Forwarder
Windows 终端被注册到 Velociraptor 中,并配置为将日志转发到 Splunk Enterprise 以进行集中分析。
## 终端注册
该 Windows Server 终端已成功注册到 Velociraptor,并与服务器保持活动连接。
这提供了对终端活动的远程可见性,并允许直接从系统收集取证工件。
## 工件收集
使用 Velociraptor 执行了 `Windows.System.Pslist` 工件,以从终端收集进程信息。
该工件返回的信息包括:
* 进程名称
* 进程 ID (PID)
* 父进程 ID (PPID)
* 命令行参数
* 正在运行的系统进程
这提供了终端上活动进程的基线视图。
## 使用 VQL 进行进程层级分析
使用 Velociraptor notebook 通过 VQL 分析进程关系。
检查了父子进程关系,以了解正常的操作系统行为并识别潜在的恶意执行链。
观察到的示例包括:
* System
* Registry
* smss.exe
* csrss.exe
* wininit.exe
* services.exe
* lsass.exe
了解进程谱系是终端调查和威胁狩猎的一项重要技能。
## 使用 Splunk 进行 PowerShell 威胁狩猎
PowerShell Operational 日志被转发到 Splunk 中,并使用 Event ID 4104 进行分析。
```
sourcetype="WinEventLog:Microsoft-Windows-PowerShell/Operational" EventCode=4104
```
Event ID 4104 捕获 PowerShell Script Block Logging,使分析师能够审查已执行的 PowerShell 命令并识别潜在的可疑活动。
这种遥测技术在涉及恶意脚本、管理权限滥用、持久化机制和攻击者技术的调查中经常被使用。
## 主要发现
* 成功将远程 Windows Server 终端注册到 Velociraptor 中。
* 使用 Windows.System.Pslist 收集终端进程工件。
* 使用 VQL notebook 分析进程层级。
* 将 Windows 事件日志转发到 Splunk Enterprise。
* 使用 Event ID 4104 查询 PowerShell Operational 日志。
* 实践了以终端为核心的威胁狩猎技术。
* 加深了对终端遥测和取证工作流的理解。
## 核心收获
本项目增强了我对终端可见性和事件调查工作流的理解。通过将 Velociraptor 的工件收集能力与 Splunk 的搜索和分析功能相结合,我获得了从 EDR 和 SIEM 角度识别和分析终端活动的实践经验。
最有价值的收获是了解了如何利用进程工件和 PowerShell 遥测来调查系统活动并支持威胁狩猎工作。
## 仓库内容
* Velociraptor 部署截图
* 工件收集示例
* VQL notebook 分析
* Splunk 威胁狩猎查询
* 辅助文档和报告
标签:EDR, Velociraptor, Windows Server, 用户态调试, 终端取证, 脆弱性评估