ag48665/Detection-as-Code-Lab

GitHub: ag48665/Detection-as-Code-Lab

基于 Splunk 和 Sysmon 的威胁狩猎实验室，提供多个 MITRE ATT&CK 映射的 SPL 检测查询场景。

Stars: 0 | Forks: 0

# 威胁狩猎实验室 ## 概述本项目展示了使用 Splunk Enterprise 和 Sysmon 遥测数据进行威胁狩猎的活动。目标是利用真实的 Windows 事件数据，主动识别可疑行为、调查潜在威胁并验证发现结果。 ## 环境 | 组件 | 详细信息 | | ------------------- | ---------------------- | | SIEM | Splunk Enterprise 10.4 | | 端点监控 | Sysmon | | 操作系统 | Windows 11 | | 框架 | MITRE ATT&CK | # 狩猎场景 ## 1. PowerShell 活动狩猎 ### 目标识别可能表明攻击者活动的 PowerShell 执行行为。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "powershell.exe" ``` ### 结果成功识别了 PowerShell 进程执行事件。 ![PowerShell 狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f358fda476110014.png) ## 2. 命令提示符活动狩猎 ### 目标识别命令行执行活动。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "cmd.exe" ``` ### 结果检测并分析了命令提示符的执行情况。 ![CMD 狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/ec55f7390c110021.png) ## 3. 账户发现狩猎 ### 目标识别攻击者常用的账户枚举技术。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" ("whoami.exe" OR "net.exe") ``` ### 结果成功识别了账户发现活动。 ![账户发现狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f51fba5522110027.png) ## 4. 网络连接狩猎 ### 目标识别端点上由进程创建的出站网络连接。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "3" ``` ### 结果检测并审查了 Sysmon 网络连接事件（Event ID 3）。 ![网络连接狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f7c49fe448110031.png) ## 5. 文件创建狩猎 (MITRE ATT&CK T1105) ### 目标识别可能表明 payload 投递或恶意软件暂存的文件创建活动。 ### SPL 查询 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" | search "11" ``` ### 结果成功识别了 Sysmon 文件创建事件（Event ID 11）。 ![文件创建狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0ddc204e14110035.png) ## MITRE ATT&CK 映射 | 技术 ID | 技术 | | ------------ | ------------------------------------ | | T1059.001 | PowerShell | | T1087 | Account Discovery | | T1105 | Ingress Tool Transfer | | T1049 | System Network Connections Discovery | | T1059.003 | Windows Command Shell | ## 展示技能 * 威胁狩猎 * Splunk SPL * Sysmon 分析 * Windows 事件分析 * 检测工程 * MITRE ATT&CK 映射 * 安全监控 * 事件调查 ## 作者 Agata Gabara 网络安全 | SOC 分析师 | 威胁猎人 GitHub: https://github.com/ag48665

标签：Sigma规则, Sysmon, 目标导入, 管理员页面发现