Asha101991/threat-hunting-lab

# 威胁狩猎实验室 一个基于 Splunk、Sysmon、Windows Event Logs、Sigma Rules 和 MITRE ATT&CK 构建的实战化 Cyber Security 威胁狩猎实验室。 ## 目标 - 狩猎恶意活动 - 检测 PowerShell 滥用 - 调查持久化机制 - 分析身份验证攻击 - 检测横向移动 - 实践 SOC 工作流 ## 工具 - Splunk Enterprise - Sysmon - Windows Event Logs - Sigma - MITRE ATT&CK - YARA ## 展示技能 - Threat Hunting - Log Analysis - Detection Engineering - IOC Analysis - MITRE ATT&CK 映射 - SOC 调查 ## 示例 SPL 搜索 ### 登录失败 index=wineventlog EventCode=4625 ### 登录成功 index=wineventlog EventCode=4624 ### 编码的 PowerShell index=sysmon EventCode=1 powershell.exe "*EncodedCommand*" ### 可疑的父进程 index=sysmon EventCode=1 ParentImage="*winword.exe" ### 新增本地管理员 index=wineventlog EventCode=4728 ## MITRE ATT&CK | 技术 | ID | |------------|----| | PowerShell | T1059.001 | | Command Shell | T1059 | | Valid Accounts | T1078 | | Lateral Movement | T1021 | | Credential Access | T1003 | ## 作者 Ashaar Leacock-Thomas Cybersecurity 研究生 Security Operations Center (SOC) Analyst

标签：BurpSuite集成, Cloudflare, MITRE ATT&CK, OpenCanary, PE 加载器, SOC分析, Sysmon, 管理员页面发现, 网络安全, 隐私保护