Manmadha11/Threat-Hunting-and-Incident-Response-Case-Studies

# 威胁狩猎与事件响应案例研究 ## 概述 本仓库包含一系列使用 Splunk 和 Sysmon 遥测数据开发的实用威胁狩猎与事件响应案例研究。 这些调查的目的是模拟真实的 SOC 工作流程，并展示在 Windows 系统中识别、分析和关联安全事件的过程。 这些案例研究侧重于进程执行、PowerShell 活动、网络连接、持久化机制、身份验证事件以及时间线重建。 ## 展示技能 - 威胁狩猎 - 事件响应 - 检测工程 - Splunk SPL - Sysmon 分析 - Windows 事件分析 - MITRE ATT&CK 映射 - 事件关联 - 进程调查 - PowerShell 分析 - 网络分析 - 注册表持久化分析 - 文件系统调查 - 身份验证调查 - 时间线重建 ## 使用工具 | 工具 | 用途 | |--------|--------| | Splunk Enterprise | 日志分析 | | Sysmon | 端点遥测 | | Windows Event Logs | 安全监控 | | PowerShell | 攻击模拟 | | MITRE ATT&CK | 威胁映射 | ## 案例研究 | # | 调查 | |---|---| | 01 | 进程创建狩猎 | | 02 | PowerShell 威胁狩猎 | | 03 | 父子进程分析 | | 04 | 网络连接狩猎 | | 05 | 持久化狩猎 | | 06 | 文件创建调查 | | 07 | LOLBins 狩猎 | | 08 | 计划任务滥用 | | 09 | 身份验证调查 | | 10 | 时间线重建 | ## MITRE ATT&CK 覆盖范围 - T1059 – 命令和脚本解释器 - T1059.001 – PowerShell - T1053.005 – 计划任务 - T1071 – 应用层协议 - T1110 – 暴力破解 - T1218 – 签名的二进制代理执行 - T1547.001 – 注册表 Run 键 - T1021 – 远程服务 ## 核心能力 本仓库展示了以下方面的实践经验： - 安全运营中心 (SOC) 工作流程 - 检测和分析可疑活动 - 威胁狩猎方法论 - 事件响应流程 - 事件关联与调查 - Windows 遥测分析 - Splunk 查询开发 ## 仓库目标 本项目的目的是积累基于主机的遥测技术的实践经验，并展示与以下职位相关的调查技能： - SOC Analyst - Detection Engineer - Threat Hunter - DFIR Analyst - Security Engineer ## 作者 网络安全专业本科生 专注于： - 威胁狩猎 - 检测工程 - 事件响应 - 安全运营

标签：AI合规, FOFA, IP 地址批量处理, OpenCanary, PE 加载器, 安全运营, 库, 应急响应, 扫描框架, 知识库安全, 管理员页面发现