iamgrandeur1/Multi-Protocol-Host-Investigation-Threat-Hunting-Using-Splunk

# 项目 12 – 使用 Splunk 进行多协议主机调查与威胁狩猎 ## 概述 本项目重点介绍如何使用 Splunk 和 Zeek 网络遥测数据进行以主机为中心的调查。通过以单台内部主机 (192.168.202.110) 为核心进行追踪，我关联了跨多个协议的活动，以构建全面的活动画像，并展示实用的威胁狩猎技术。 ## 目标 目标是关联来自多个 Zeek 日志源的事件并分析协议使用模式，以识别特定主机在网络中的交互方式。 ## 数据源 - Zeek DHCP 日志 - Zeek DNS 日志 - Zeek HTTP 日志 - Zeek SSH 日志 ## SPL 查询 ``` index=main "192.168.202.110" | stats count by sourcetype | sort - count ```

标签：Rootkit, Zeek, 内存分配, 网络安全, 隐私保护