srefat/Splunk-incident-response

## 项目 ** 名称** 事件响应实验室 — Splunk BOTSv1 实战演练 ## 📁 实验与项目 ### 遏制、根除与恢复 **工具：** Splunk (BOTSv1 数据集) **场景：** 调查针对 `imreallynotbatman.com` (Wayne Enterprises) 的真实攻击 **成果：** https://youtu.be/A2qVXn7mj8o **我所做的工作：** - 确定了受害者服务器 `192.168.250.70` 以及两个攻击者 IP - 追踪了完整的 kill chain：reconnaissance → SQL injection → brute-force → Joomla 网页篡改 - 向 CISO 撰写了一份遏制决策备忘录，建议隔离策略 - 为取证内存证据填写了监管链表单 - 将 NIST SP 800-88 应用于五个清理场景（清除 / 清洗 / 销毁） - 制定了一份涵盖账户、日志、配置和漏洞状态的恢复验证清单 ## 🖥️ 使用的 Splunk 命令 ### 🔍 查找受害者服务器 ``` index=botsv1 sourcetype=stream:http | stats count by dest_ip | sort -count ``` ### 👾 识别攻击者 IP ``` index=botsv1 sourcetype=stream:http | stats count by src_ip | sort -count ``` ### 🔎 调查 SQL 注入 ``` index=botsv1 sourcetype=stream:http dest_ip=192.168.250.70 | search uri_query=*select* OR uri_query=*union* OR uri_query=*drop* ``` ### 🔑 暴力破解身份验证分析 ``` index=botsv1 sourcetype=stream:http dest_ip=192.168.250.70 | stats count by src_ip, uri_path | where count > 10 ``` ### 📁 查找篡改文件 ``` index=botsv1 sourcetype=stream:http dest_ip=192.168.250.70 | search uri_path=*.jpeg OR uri_path=*.php ``` ### 🚨 在防火墙日志中检查攻击者 IP ``` index=botsv1 sourcetype=suricata | stats count by src_ip, dest_ip, alert.signature | sort -count ``` ### 📊 完整 Kill Chain 时间线 ``` index=botsv1 (src_ip=40.80.148.42 OR src_ip=23.22.63.114) | table _time, src_ip, dest_ip, uri_path, status | sort _time ``` **展示的技能：** `Splunk` `NIST SP 800-61` `NIST SP 800-88` `Digital Forensics` `Incident Response` `Chain of Custody` `Log Analysis` ## 🧰 工具与框架 - Splunk SIEM - NIST SP 800-61 Rev. 2 (事件处理) - NIST SP 800-88 Rev. 1 (介质清理) - RFC 3227 (证据收集) - FTK Imager

标签：CISA项目, Metaprompt, 域环境安全, 安全演练, 安全运营, 密码管理, 库, 应急响应, 扫描框架, 数字取证, 红队行动, 自动化脚本