luquinhasup/Threat-Hunting-Log-Analysis
GitHub: luquinhasup/Threat-Hunting-Log-Analysis
一个基于 macOS/Unix 的威胁狩猎实验室,通过模拟真实攻击场景验证系统日志检测能力并输出 SIEM 检测规则建议。
Stars: 0 | Forks: 0
# 🕵️♂️ Threat Hunting 实验室:进程、连接和日志分析 (macOS/Unix)
## 🎯 项目目标
这是一个专注于 *Threat Hunting* 和检测工程方法的实战实验室。其主要目的是调查可疑进程、追踪未记录的网络连接并分析系统日志,以识别诸如暴力破解和提权等入侵企图。
## 🛠️ 方法论与使用的命令
为了模拟真实的真实事件响应环境,本次调查原生地在 macOS(基于 Unix)环境下进行,使用命令行工具进行深入分析:
* **网络映射:** 使用 `netstat -an` 和 `lsof -iTCP -sTCP:LISTEN -n -P` 来识别开放端口并建立网络 *baseline*。
* **进程检查:** 使用 `ps -p ` 和 `ps aux | grep ` 追踪活动连接的 *Process ID* (PID),以验证正在运行的二进制文件的合法性。
## ⚔️ 威胁模拟 (Purple Team)
为了验证系统日志的可见性,我们在本地模拟了两种攻击技术:
1. **命令与控制 (C2) / 后门:** 使用 Netcat (`nc -l 4444`) 工具打开未经授权的监听端口。
2. **暴力破解攻击:** 针对本机有意执行多次失败的 SSH 身份验证尝试 (`ssh $(whoami)@localhost`)。
## 🔎 日志分析与可见性
通过 `log show` 工具,过滤了操作系统的系统记录以追踪攻击者的痕迹:
* 异常搜索命令:`log show --last 10m | grep -Ei "failed|authentication|invalid sshd"`
* 分析确认通过 `sshd` 进程记录了失败的登录尝试,验证了系统检测模拟攻击的能力。
## 🛡️ 检测工程:建议的规则
基于通过 SSH 暴力破解攻击期间映射到的异常行为,我提出了以下拟在 SIEM 中实施的检测规则:
* **触发条件:** 在 1 分钟内,来自同一 IP 地址或针对同一用户的 SSH 登录失败尝试超过 5 次。
* **日志源:** `/var/log/auth.log` (Linux) 或 `sshd` 进程日志。
* **响应动作:** 1. 为 SOC 生成高优先级警报。
2. 自动通知管理员。
3. 在防火墙中临时封锁源 IP 地址(Active Response)。![]()
## 🔎 日志分析与可见性
通过 `log show` 工具,过滤了操作系统的系统记录以追踪攻击者的痕迹:
* 异常搜索命令:`log show --last 10m | grep -Ei "failed|authentication|invalid sshd"`
* 分析确认通过 `sshd` 进程记录了失败的登录尝试,验证了系统检测模拟攻击的能力。
## 🛡️ 检测工程:建议的规则
基于通过 SSH 暴力破解攻击期间映射到的异常行为,我提出了以下拟在 SIEM 中实施的检测规则:
* **触发条件:** 在 1 分钟内,来自同一 IP 地址或针对同一用户的 SSH 登录失败尝试超过 5 次。
* **日志源:** `/var/log/auth.log` (Linux) 或 `sshd` 进程日志。
* **响应动作:** 1. 为 SOC 生成高优先级警报。
2. 自动通知管理员。
3. 在防火墙中临时封锁源 IP 地址(Active Response)。标签:Cutter, IP 地址批量处理, 内存分配, 子域枚举, 安全实验室, 安全检测工程, 紫队