DorsaO/Splunk-Threat-Detection
GitHub: DorsaO/Splunk-Threat-Detection
基于 Splunk 和 BOTSv1 数据集的威胁检测工程实验项目,提供面向 SOC 一级分析师的 SPL 查询与分析方法文档。
Stars: 0 | Forks: 0
# Splunk 威胁检测实验室
使用 Splunk 和 BOTSv1 数据集进行动手检测工程。
每次检测均包含 SPL 查询、分析方法、
发现结果和截图。
**工具:** Splunk Enterprise、BOTSv1
**重点:** SOC 一级(Tier 1)检测用例
## 检测
## | 检测 | 日志源 | MITRE ATT&CK | 状态 |
|---|---|---|---|
| [windows 暴力破解](./detections/windows-brute-force/README.md) | WinEventLog | T1110 | ✅ 已完成 |
| [Web 应用暴力破解](./detections/web-brute-force/README.md) | Stream:HTTP | T1110 | ✅ 已完成 |
| [C2 Beaconing 调查](./detections/c2-beaconing-investigation/README.md) | stream:http, suricata | T1071, T1190 | ✅ 已完成 |
| [数据泄露调查](./detections/data-exfiltration-investigation/README.md) | stream:http, suricata, stream:dns| T1041 | 🔍 结论不明确 |
## 数据集
BOTSv1(Boss of the SOC version 1)— 由 Splunk 提供的开源 Splunk
攻击数据集。
标签:AMSI绕过, BOTSv1, CISA项目, IP 地址批量处理, SPL查询, 代码示例, 威胁检测, 安全运营, 扫描框架, 数据分析, 红队行动