rubaiamorshed/Security-Event-Investigation-and-Threat-Hunting-Using-Splunk-Enterprise

# 使用 Splunk Enterprise 进行安全事件调查与威胁狩猎 基于 Splunk 的威胁狩猎与网络安全调查项目，通过分析 Web 流量和防火墙日志，结合攻击链重建和 MITRE ATT&CK 映射，检测 SQL 注入、目录遍历、Web Shell 活动、恶意软件执行以及命令与控制（C2）通信。 ## 概述 本项目展示了使用 Splunk Enterprise 进行的网络安全调查，通过分析 Web 流量和防火墙日志来发现恶意活动的指标。通过日志分析、威胁狩猎、事件关联以及 MITRE ATT&CK 映射，从初始侦察到后渗透活动，完整重建了整个攻击链。 调查识别出了多种 Web 应用攻击技术，包括 SQL 注入尝试、目录遍历攻击、敏感资源枚举、Web Shell 执行、恶意软件部署以及命令与控制（C2）通信。 ## 目标 * 使用 Splunk Enterprise 分析 Web 服务器和防火墙日志 * 识别入侵指标 (IOC) * 检测 Web 应用攻击和漏洞利用尝试 * 跨多个日志源关联事件 * 重建攻击者生命周期 * 将攻击者行为映射到 MITRE ATT&CK 框架 * 生成专业的事件调查报告 ## 工具与技术 * Splunk Enterprise * SPL (Search Processing Language) * MITRE ATT&CK 框架 * OWASP Top 10 * 威胁狩猎方法论 * 日志分析 * Web 安全监控 ## 数据来源 ### Web 流量日志 * HTTP 请求 * User-Agent 字符串 * 客户端 IP 地址 * 请求路径 * HTTP 状态码 ### 防火墙日志 * 源和目标 IP 地址 * 网络协议 * 允许的连接 * 命令与控制指标 ## 调查摘要 调查确定了一个可能的攻击演进过程，包括： 1. 侦察与枚举 2. 敏感资源发现 3. SQL 注入尝试 4. 目录遍历攻击 5. Web Shell 活动 6. 恶意软件执行 7. 命令与控制通信 证据表明，攻击者在转向后渗透活动之前，利用了诸如 SQLMap 和 Havij 等自动化工具进行漏洞利用尝试。 ## 关键发现 ### 自动化侦察活动 检测到使用以下工具进行的自动化扫描活动： * curl * wget * zgrab * Go-http-client * Python Requests ### SQL 注入尝试 观察到基于时间的 SQL 注入 payload，包括： ``` /item.php?id=1 AND SLEEP(5)-- /search.php?q=test'%20AND%20SLEEP(5)-- ``` 关联工具： * SQLMap * Havij ### 敏感资源枚举 攻击者尝试访问： ``` /.env /.git/config /phpinfo.php /logs.tar.gz ``` ### 目录遍历尝试 观察到尝试访问敏感操作系统文件的企图： ``` /download?file=../../etc/passwd ``` ### Web Shell 活动 检测到通过 Web Shell endpoint 执行的命令： ``` /shell.php?cmd=whoami /shell.php?cmd=chmod +x bunnylock.bin /shell.php?cmd=./bunnylock.bin ``` ### 命令与控制通信 防火墙日志识别出内部主机与外部基础设施之间通过 TCP 端口 8080 进行的出站通信，表明存在潜在的 C2 活动。 ## MITRE ATT&CK 映射 | 技术 | ATT&CK ID | | --------------------------------- | --------- | | 主动扫描 (Active Scanning) | T1595 | | 收集受害者主机信息 | T1592 | | 利用面向公众的应用程序 | T1190 | | 命令和脚本解释器 | T1059 | | 来自本地系统的数据 | T1005 | | 应用层协议 | T1071 | ## 展现的技能 ### 安全运营与威胁狩猎 * 威胁狩猎 * 日志关联 * IOC 识别 * 攻击链重建 * 安全事件调查 ### SIEM 与日志分析 * Splunk Enterprise * SPL 查询开发 * Web 流量分析 * 防火墙日志分析 ### 威胁检测 * SQL 注入检测 * 目录遍历检测 * Web Shell 识别 * 命令与控制检测 * 可疑 User-Agent 分析 ### 网络安全框架 * MITRE ATT&CK 映射 * 事件调查方法论 * 风险评估 * 安全报告 ## 项目成果 通过关联 Web 流量和防火墙事件，本次调查成功重建了从侦察到后渗透活动的可能攻击生命周期。该项目展示在模拟的企业环境中进行 SIEM 分析、威胁狩猎、攻击检测和事件调查的实战经验。 ## 参考 * MITRE ATT&CK 框架 * OWASP Top 10 * OWASP Web 安全测试指南 (WSTG) * Splunk Enterprise 文档 * TryHackMe – 用于日志分析的 Splunk (Advent of Cyber 2025)

标签：CISA项目, Cloudflare, IP 地址批量处理, MITRE ATT&CK, 安全事件调查, 攻击链重构