Meluukoi/splunk-threat-hunting-lab

# splunk-threat-hunting-lab 使用 Splunk、Sysmon 和 Windows 遥测数据进行威胁狩猎练习，以识别可疑活动并重构攻击者行为。 目标是开展假设驱动的狩猎，识别可疑活动，并关联端点遥测数据以重构攻击者行为。 ## 实验环境 ### 使用的工具 - Splunk Enterprise - Splunk Universal Forwarder - Sysmon - Windows Event Viewer - PowerShell - Command Prompt ### 数据源 - Microsoft-Windows-Sysmon/Operational - Windows 安全日志 - Windows 系统日志 # 威胁狩猎 1：PowerShell 侦察活动 ## 狩猎假设 攻击者可能会使用 PowerShell 执行侦察命令，以收集有关当前用户和系统的信息。 ## 狩猎查询 ``` source="WinEventLog:Microsoft-Windows-Sysmon/Operational" "WindowsPowerShell" "whoami" ``` ## 调查 使用 Sysmon 进程创建事件，成功识别并调查了 PowerShell 侦察活动。 调查识别出： - PowerShell 进程执行 - 父子进程关系 - 命令行活动 - 与执行相关的用户上下文 - 通过 `whoami.exe` 进行的侦察行为 对 Sysmon Event ID 1 遥测数据的分析显示，PowerShell 生成了 `whoami.exe` 进程，为用户枚举活动和进程执行行为提供了可见性。 这种可见性可以帮助分析师识别在攻击早期阶段常执行的侦察活动。 ## 发现 调查证实，PowerShell 在用户上下文 `MELUU\milad` 下启动了 `whoami.exe`。 进程遥测数据显示： - 父进程：`powershell.exe` - 子进程：`whoami.exe` - 活动类型：用户枚举 - 数据源：Sysmon Event ID 1 观察到的行为与用于识别当前登录用户和收集系统信息的侦察技术相符。 ## MITRE ATT&CK 映射 | 技术 | ID | |------------|------------| | System Owner/User Discovery | T1033 | | PowerShell | T1059.001 | ## 截图 ### PowerShell 侦察调查 PowerShell 执行并生成 `whoami.exe` 进程，展示了通过 Sysmon Event ID 1 可见的用户发现活动和父子进程关系。  # 威胁狩猎 2：身份验证活动分析 ## 狩猎假设 攻击者可能会尝试通过反复进行身份验证尝试并随后成功登录来获取系统的访问权限。 ## 狩猎查询 ``` source="WinEventLog:Security" (EventCode=4624 OR EventCode=4625) | stats count by EventCode Account_Name ``` ## 发现 此次狩猎识别了多个账户的成功和失败的身份验证活动。 分析显示： - 成功登录事件 (4624) - 失败登录事件 (4625) - 交互式用户身份验证活动 - 系统和服务账户身份验证活动 调查发现了与用户账户和操作系统服务相关的成功登录，同时还揭示了对本地账户的失败身份验证尝试。 将成功和失败的登录事件进行关联，可以提供身份验证行为的可见性，并帮助分析师识别密码猜测、暴力破解活动以及潜在的账户滥用。 ## 截图 ### 身份验证活动分析 跨成功登录 (4624) 和失败登录 (4625) 关联的身份验证活动。使用统计分析来识别身份验证模式、账户活动和失败的登录尝试。 

标签：AI合规, Conpot, Sysmon, Windows安全, 安全, 安全运营, 扫描框架, 插件系统, 超时处理