suld-sec/splunk-detections

# Splunk 检测规则 这是一系列用于 SOC 威胁狩猎和安全监控的 Splunk SPL 检测规则集合。每条规则都针对特定的对手行为，包含检测逻辑、所捕获的技术以及调优说明。 由一名在金融服务环境中工作的 SOC 团队负责人构建和维护。所有规则均已进行脱敏处理——主机名、IP 和标识符均为通用示例，不包含任何生产数据。 ## 为什么创建此项目 网上大多数检测内容要么过于通用而无法直接部署，要么深藏在供应商文档中。这些规则的编写方式符合 SOC 实际工作时的使用习惯：逻辑清晰，映射到 MITRE ATT&CK，并标注了哪些会产生噪音以及如何进行调优。 ## 检测项 | 规则 | 技术 | MITRE ATT&CK | |------|-----------|--------------| | DNS Beaconing 检测 | 通过 DNS 进行定期 C2 回调 | T1071.004 | | 横向移动（认证） | 异常的跨主机认证 | T1021 | | 认证失败 / 暴力破解 | 凭证猜测爆发 | T1110 | ## 结构 每个检测都位于其独立的文件中，包含： - **目的** — 捕获的对手行为 - **SPL** — Splunk 搜索 - **逻辑** — 工作原理，逐字段说明 - **调优** — 已知的误报以及如何减少误报 - **MITRE 映射** — 技术参考 ## 免责声明 这些规则按“原样”提供，仅供教育和参考之用。请在非生产环境中进行测试，并根据您自己的数据进行调优后再部署。我们不提供任何明示或暗示的保证。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)。

标签：PE 加载器, SOC监控, SPL, 安全运营, 扫描框架, 检测规则, 红队行动, 网络资产发现