kismatkunwar89/spl-threat-hunting-library
GitHub: kismatkunwar89/spl-threat-hunting-library
一套按攻击者阶段分类、与环境无关的 Splunk SPL 威胁狩猎查询模板库,帮助安全分析师根据观测症状快速定位并运行对应的检测查询。
Stars: 0 | Forks: 0
# SPL 威胁狩猎库
一套可重复使用、与环境无关的 Splunk 狩猎查询集合,按**你的狩猎目标**进行分类。在下方找到你遇到的场景,打开对应的文件夹,将 `` 替换为你自己的值,然后运行。想稍后添加查询?请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 并运行 [`validate-library.sh`](validate-library.sh)。
## 你在狩猎什么? - 症状路由
| 如果你正在观察/追踪… | 前往 |
|---|---|
| 一个新环境 - “存在哪些数据/索引/EventCode?” | [00-environment-orientation/](00-environment-orientation/) |
| 原生工具(`whoami`、`net`、`ipconfig`)被滥用于枚举 | [01-host-enumeration/](01-host-enumeration/) |
| 从异常位置下载/投放/运行的程序;来自互联网的文件;拼写错误的二进制文件;对受信任域名的 DNS 查询 | [02-delivery-staging/](02-delivery-staging/) |
| 内存中的代码(shellcode);execute-assembly/.NET;线程注入;混淆或突发的命令;奇怪的父→子进程关系(如文本编辑器启动 shell) | [03-execution-injection/](03-execution-injection/) |
| 任何涉及 `lsass` 的操作;DCSync;Kerberos 票据量;短时间内密集爆发的登录 | [04-credential-access/](04-credential-access/) |
| PsExec / 基于服务的远程执行;一个账户访问大量机器 | [05-lateral-movement/](05-lateral-movement/) |
| Beaconing;异常出站端口;被打包用于外发的数据 | [06-c2-exfil/](06-c2-exfil/) |
| 你有一条线索(一个 IP、进程、账户或已知的 C2 IP)并需要追踪它 | [90-pivots/](90-pivots/) |
| 将发现转化为能够抵御规避行为的低噪警报 | [99-detection-engineering/](99-detection-engineering/) |
### 交叉症状(主要归类于一处,但与多处相关)
| 症状 | 主要归类 | 另见 |
|---|---|---|
| 对受信任/允许列表域名的 DNS 查询(拉取 payload *或* C2) | [02 dns-to-trusted-domain](02-delivery-staging/dns-to-trusted-domain.md) | [06-c2-exfil](06-c2-exfil/) |
| 非常规端口上的连接(C2、横向传输、外发) | [06 uncommon-network-ports](06-c2-exfil/uncommon-network-ports.md) | [05-lateral-movement](05-lateral-movement/) |
| “我有一个 IP - 它是什么 / 谁接触过它?” | [90 ip-across-sourcetypes](90-pivots/ip-across-sourcetypes.md) | [05 host-interaction](05-lateral-movement/host-interaction.md) |
| **可疑账户 / 身份验证活动** | 跨越 04 | [04 login-burst-window](04-credential-access/login-burst-window.md), [04 kerberos-tgt-volume](04-credential-access/kerberos-tgt-volume.md), [04 dcsync](04-credential-access/dcsync.md), [05 account-spread](05-lateral-movement/account-spread.md) |
## 如何使用这些内容
- **替换占位符。** 每个特定环境的值都是一个 ``:``、``、``、``、`.exe`、``、``。
- **锁定你的索引。** 查询为了通用性使用 `index=*` - 设置你实际的 `index="main"` 以加快搜索速度。
- **通配符内部不要有空格。** `"*lsass*"` 可以匹配;`" *lsass* "` 会查找字面上的空格。
- **Sourcetypes:** Sysmon → `sourcetype="WinEventLog:Sysmon"`,Security → `sourcetype="WinEventLog:Security"`。
- **阈值是调节旋钮。** 任何 `k*stdev` 或 `> N` 都只是一个起点 - 请进行校准。
## EventCode 快速映射
**Sysmon**
| 代码 | 含义 |
|---|---|
| 1 | 进程创建 |
| 3 | 网络连接 |
| 7 | 镜像 / DLL 加载 |
| 8 | CreateRemoteThread(注入) |
| 10 | 进程访问(句柄 - lsass,注入) |
| 11 | 文件创建 |
| 13 | 注册表值设置 |
| 18 | 命名管道 |
| 22 | DNS 查询 |
**Windows Security - 身份验证与 AD**
| 代码 | 含义 | 用于 |
|---|---|---|
| 4624 | 登录成功 | login-burst-window (04), account-spread (05) |
| 4662 | AD 对象访问 | dcsync (04) |
| 4768 | Kerberos TGT 请求 | kerberos-tgt-volume (04) |
## 两大核心理念
每个文件夹都刻意混合了两种风格:**发现已知**(精确的 TTP 查询 - 速度快,但攻击者会进化并绕过它们)和**发现异常**(基线正常化,标记偏差 - 捕获新行为)。这两种风格都要运行;无论攻击者如何移动,都会触发其中之一。
标签:Cutter, IP 地址批量处理, PE 加载器, SPL, 安全检测工程, 安全运营, 扫描框架, 管理员页面发现