Guscyrus-cyber/Splunk_threatintel_SOC_monitoring_mac_lab

**威胁情报 SOC 监控实验室** **实验室目标** 本实验室的目标是将威胁情报数据接入 Splunk Enterprise，并通过仪表板、报告、告警、检测规则、查找表以及威胁狩猎调查，识别已知的恶意 IP 地址、可疑域名、威胁指标和潜在的安全威胁。 **创建威胁情报索引** 描述：创建一个专用的 Splunk 索引来存储威胁情报指标和威胁狩猎数据。 请参阅存储库中的图片 # 1。 **上传威胁情报数据集** 数据集：threatintel.log 索引：threatintel 描述：接入威胁情报指标以进行监控和威胁检测活动。 请参阅存储库中的图片 # 2。 **验证接入和指标** 查询：index=threatintel . 威胁情报数据集是否成功接入 Splunk？ 是\ \ . 数据集中存在多少个威胁情报指标？ 10 个指标 | **threat_type** | **indicator** | **severity** | |------------------|-----------------------|---------------| | Malicious_IP | 123.123.123.123 | High | | Malicious_IP | 45.33.32.156 | Critical | | Malicious_Domain | maliciousdomain.com | High | | Malicious_Domain | evil-c2.net | Critical | | Threat_Actor | APT-Shadow | High | | Phishing | fakebank-login.com | High | | Botnet | botnet-controller.net | Critical | | Malware_Hash | ABC123XYZ | High | | Benign_IP | 8.8.8.8 | Informational | | Benign_Domain | github.com | Informational | 威胁情报数据集已成功接入 Splunk Enterprise，共包含 10 个事件。Splunk 自动提取了关键字段，包括 indicator、threat_type、severity 和 description。该数据集包含恶意 IP 地址、恶意域名、钓鱼指标、僵尸网络基础设施、恶意软件哈希值、模拟的威胁行为者以及用于对比的良性指标。结果确认该威胁情报源是可搜索的，并已准备好用于 IOC 监控、告警、检测规则、仪表板、报告和威胁狩猎分析。\ 良性指标（如 8.8.8.8 和 github.com）的出现提供了对比数据，而高风险指标（如 evil-c2.net、45.33.32.156、botnet-controller.net 和 maliciousdomain.com）则代表了用于检测和调查实践的模拟威胁。 请参阅存储库中的图片 # 3、4 和 5。 **验证事件计数** 查询：\ \ index=threatintel\ \| stats count . 有多少威胁情报事件接入了 Splunk？ 10 请参阅存储库中的图片 # 6。 **审查威胁情报数据** 查询： index=threatintel\ \| table \_time host sourcetype \_raw . 环境中存在哪些威胁指标？ 该威胁情报数据集包含了恶意和良性指标的混合。恶意指标包括两个恶意 IP 地址 (123.123.123.123, 45.33.32.156)、两个恶意域名 (maliciousdomain.com, evil-c2.net)、一个钓鱼域名 (fakebank-login.com)、一个僵尸网络控制器 (botnet-controller.net)、一个恶意软件哈希值 (ABC123XYZ) 以及一个威胁行为者标识符 (APT-Shadow)。该数据集还包含两个良性指标 (8.8.8.8 和 github.com)，用于对比和验证目的。\ \ . 哪些指标可供调查？\ \ 以下指标可供调查： | **Threat Type** | **Indicator** | **Severity** | |------------------|-----------------------|---------------| | Malicious_IP | 123.123.123.123 | High | | Malicious_IP | 45.33.32.156 | Critical | | Malicious_Domain | maliciousdomain.com | High | | Malicious_Domain | evil-c2.net | Critical | | Threat_Actor | APT-Shadow | High | | Phishing | fakebank-login.com | High | | Botnet | botnet-controller.net | Critical | | Malware_Hash | ABC123XYZ | High | | Benign_IP | 8.8.8.8 | Informational | | Benign_Domain | github.com | Informational | 可以对这些指标进行调查，以确定是否有系统与已知的恶意基础设施进行过通信、访问过可疑域名、与威胁行为者活动有关联，或表现出恶意软件感染的迹象。良性指标为区分合法活动与潜在恶意活动提供了基准。 请参阅存储库中的图片 # 7。 **识别恶意 IP 地址** 查询： index=threatintel\ malicious . 哪些源 IP 地址被识别为已知的恶意指标？ 123.123.123.123\ 45.33.32.156\ \ . 哪些 IP 地址应优先进行调查？\ \ 优先顺序： 45.33.32.156 — Critical (僵尸网络基础设施)\ 123.123.123.123 — High (已知的命令与控制服务器) 请参阅存储库中的图片 # 8。 **搜索可疑域名** index=threatintel domain . 哪些域名被识别为可疑或恶意？ evil-c2.net\ maliciousdomain.com\ \ . 威胁情报源中是否存在已知的恶意域名？ 1. 命令与控制 (C2) 基础设施\ 2. 恶意软件分发活动 这两个恶意域名应优先进行调查。 请参阅存储库中的图片 # 9。 **识别高风险威胁** 查询： index=threatintel\ high . 哪些指标被归类为高风险威胁？ 以下指标被归类为 **High severity (高危)** 并被认为是高风险威胁： | **Threat Type** | **Indicator** | **Description** | |------------------|---------------------|----------------------------------| | Malware_Hash | ABC123XYZ | Ransomware Sample | | Phishing | fakebank-login.com | Credential Harvesting Site | | Threat_Actor | APT-Shadow | Threat Actor Infrastructure | | Malicious_Domain | maliciousdomain.com | Malware Distribution Domain | | Malicious_IP | 123.123.123.123 | Known Command and Control Server | . 哪些威胁指标需要分析师立即关注？ \|\ 这些指标需要分析师立即关注，因为它们与勒索软件活动、钓鱼基础设施、威胁行为者基础设施、恶意软件分发以及命令与控制通信相关\ \ ABC123XYZ\ fakebank-login.com\ APT-Shadow\ maliciousdomain.com\ 123.123.123.123 调查共确定了五个高危威胁指标。这些指标代表恶意软件、钓鱼基础设施、威胁行为者活动、恶意域名和命令与控制基础设施。在 DNS 日志、防火墙日志、TLS 流量、端点日志或威胁情报匹配中出现的任何这些指标，都应优先进行调查并采取潜在的应急响应措施。 请参阅存储库中的图片 # 10、11 和 12。 \ **搜索已知的攻击者** 查询： index=threatintel threat_type=Threat_Actor . 哪些指标与已知的威胁行为者相关？ “APT-Shadow”与已知的威胁行为者相关。\ \ . 在数据集中观察到了哪些威胁行为者？\ \ “APT-Shadow”是威胁情报数据集中唯一识别出的威胁行为者，被归类为 **High severity (高危)**。 请参阅存储库中的图片 # 13。 **可视化与面板** 查询： . 目前正在监控多少个威胁情报指标？\ 目前正在监控的威胁情报指标总共有 10 个。这些指标包括恶意 IP 地址、恶意域名、钓鱼基础设施、僵尸网络基础设施、恶意软件哈希值、威胁行为者标识符以及用于对比的良性指标。 . 威胁情报事件的总数是多少？\ 威胁情报数据集包含 10 个事件。 请参阅存储库中的图片 # 14 和 15。 **报告** . 调查过程中识别出了哪些威胁指标？ . 哪些指标应记录以备将来监控？ 查询： index=threatintel 请参阅存储库中的图片 # 16。 **仪表板** 查询： index=threatintel\ \| stats count \ \ . 当前有哪些可用于监控的威胁情报指标？\ \ 威胁情报数据集包含 10 个可用于监控的指标，包括恶意 IP 地址、恶意域名、钓鱼基础设施、僵尸网络基础设施、恶意软件哈希值、威胁行为者标识符以及良性参考指标。这些指标可用于检测、告警、IOC 匹配和威胁狩猎调查。 . 数据集中呈现的当前威胁态势是什么？\ \ 当前的威胁态势包括命令与控制基础设施、恶意软件分发域名、钓鱼活动、僵尸网络基础设施、勒索软件指标和威胁行为者基础设施。该数据集包含高危和严重级别的指标，以及用于区分合法活动与潜在恶意活动的良性指标。 请参阅存储库中的图片 # 17。 **告警** 查询： index=threatintel\ malicious . 是否检测到了已知的恶意指标？\ 是的。告警识别出以下已知的恶意指标： 123.123.123.123\ 45.33.32.156\ maliciousdomain.com\ evil-c2.net 这些指标与命令与控制基础设施、僵尸网络活动和恶意软件分发相关\ . 是否存在需要通知分析师的威胁指标？\ 是的。有几个威胁指标需要通知分析师并进行监控，包括： 123.123.123.123 (已知的命令与控制服务器)\ 45.33.32.156 (僵尸网络基础设施)\ maliciousdomain.com (恶意软件分发域名)\ evil-c2.net (已知的 C2 域名)\ \ 该告警成功识别了威胁情报源中已知的恶意指标。这些指标与高风险和严重威胁相关，应触发分析师审查、调查，并持续监控网络、DNS、防火墙、TLS 和端点遥测数据中潜在的匹配项。 请参阅存储库中的图片 # 18。 **检测规则** 查询： index=threatintel\ \| search malicious OR attacker OR suspicious 检测名称：Threat Intelligence Detection . 能否自动检测已知的恶意指标？\ \ 是的。威胁情报数据集包含已知的恶意指标，可以通过 Splunk 搜索、告警、检测规则和 IOC 匹配进行自动检测。示例包括恶意 IP 地址、恶意域名、僵尸网络基础设施、钓鱼域名和威胁行为者指标。 环境中是否存在任何威胁情报匹配项？\ \ 是的。该数据集包含多个威胁情报匹配项，包括：\ \ 123.123.123.123 (已知的命令与控制服务器) 45.33.32.156 (僵尸网络基础设施) maliciousdomain.com (恶意软件分发域名) evil-c2.net (已知的 C2 域名) fakebank-login.com (钓鱼域名) botnet-controller.net (僵尸网络控制器) APT-Shadow (威胁行为者基础设施) ABC123XYZ (勒索软件样本)\ \ 该检测规则成功识别了威胁情报源中的多个高风险和严重指标。这些指标代表命令与控制基础设施、恶意软件分发活动、钓鱼基础设施、僵尸网络活动、勒索软件指标和威胁行为者基础设施，所有这些都应被优先纳入监控和调查范围。 请参阅存储库中的图片 # 19 和 20。 **威胁狩猎** 哪些指标对环境构成最高风险？ 是否有任何已知的恶意 IP 地址或域名需要进一步调查？ 哪些指标应升级为应急响应？ 哪些威胁情报发现可能表明存在失陷活动？ 查询： index=threatintel\ \| table \_time host sourcetype \_raw . 哪些指标对环境构成最高风险？ 最高风险的指标是： 45.33.32.156 (Critical - 僵尸网络基础设施)\ evil-c2.net (Critical - 已知的 C2 域名)\ botnet-controller.net (Critical - 僵尸网络控制器)\ \ 这些指标具有 **Critical severity (严重级别)** 评级，应优先进行立即调查。 是否有任何已知的恶意 IP 地址或域名需要进一步调查？ 是的。以下恶意指标需要进一步调查： 123.123.123.123\ 45.33.32.156\ maliciousdomain.com\ evil-c2.net\ fakebank-login.com\ botnet-controller.net 这些指标与命令与控制活动、恶意软件分发、钓鱼基础设施和僵尸网络操作有关。\ . 哪些指标应升级为应急响应？\ \ 应该升级的指标有： 45.33.32.156\ evil-c2.net\ botnet-controller.net\ ABC123XYZ 因为它们与僵尸网络基础设施、命令与控制通信以及勒索软件活动有关。 哪些威胁情报发现可能表明存在失陷活动？ 如果在网络、DNS、防火墙、TLS 或端点日志中观察到以下发现，则可能表明存在失陷活动： 123.123.123.123 (已知的命令与控制服务器)\ 45.33.32.156 (僵尸网络基础设施)\ maliciousdomain.com (恶意软件分发域名)\ evil-c2.net (已知的 C2 域名)\ fakebank-login.com (凭证站点)\ botnet-controller.net (僵尸网络控制器)\ ABC123XYZ (勒索软件样本)\ APT-Shadow (威胁行为者基础设施) 请参阅存储库中的图片 # 21。 **分析师评估** 威胁狩猎分析识别出多个高风险和严重的威胁指标，这些指标与命令与控制基础设施、恶意软件分发、钓鱼活动、僵尸网络操作、勒索软件以及威胁行为者基础设施相关。在运行日志中出现的任何这些指标都应被视为潜在的安全事件，并立即进行调查。

标签：AMSI绕过, 威胁情报, 威胁检测, 安全监测, 安全运营中心, 开发者工具, 网络映射