iamgrandeur1/network-host-investigation-splunk

# 使用 Splunk 进行多协议主机调查与威胁狩猎 本项目演示了如何使用 Splunk 和 Zeek 网络遥测数据进行以主机为中心的威胁狩猎调查。我并没有孤立地分析单个协议，而是以一个内部主机 IP 地址 (192.168.202.110) 为支点，将多个网络数据源中的活动关联起来，从而构建出全面的系统行为画像。 本次调查的重点是确定该主机如何通过 DHCP、DNS、HTTP 和 SSH 通信与网络进行交互。通过汇总多个 Zeek 日志源的活动，我能够建立协议使用模式、验证网络存在状态，并展示在安全监控和事件响应期间使用的实用 SOC 调查技术。 ## 目标 - 使用 Splunk 执行以主机为中心的调查 - 关联多个 Zeek 日志源中的活动 - 识别单个端点的协议分布情况 - 演示跨协议威胁狩猎技术 - 为内部主机构建网络活动画像 ## 数据源 - Zeek DHCP 日志 - Zeek DNS 日志 - Zeek HTTP 日志 - Zeek SSH 日志 ## 使用的 SPL 查询 index=main "192.168.202.110" | stats count by sourcetype | sort - count ## 调查结果 | Sourcetype | Event Count | |------------|------------:| | zeek_dhcp | 67,885 | | zeek_http | 67,850 | | zeek_dns | 14,493 | | dns.log | 14,488 | | zeek_ssh | 986 | ## 分析 ### DHCP 活动 该主机生成了大量的 DHCP 事件，证实了其持续的网络参与以及与租约相关的通信。 ### HTTP 活动 HTTP 流量在观察到的活动中占有很大比例，表明存在频繁的 Web 通信和网络交互。 ### DNS 活动 识别到了数千个 DNS 事件，为深入了解名称解析行为和外部服务访问模式提供了可见性。 ### SSH 活动 SSH 事件揭示了远程访问活动，可以在事件响应或威胁狩猎操作期间对其进行进一步调查。 ## 关键发现 - 成功关联了单个主机的多个协议 - 使用 Splunk 构建了完整的网络活动画像 - 演示了实用的基于主机的威胁狩猎方法 - 识别了整个环境中的协议使用模式 - 展示了 SOC 分析师使用的跨日志源分析技术 ## 安全价值 以主机为中心的调查对于以下方面至关重要： - 威胁狩猎 - 事件响应 - 网络可见性 - 端点行为分析 - 横向移动调查 - 安全监控与检测 ## 使用的工具 - Splunk Enterprise - Zeek Network Security Monitor - Kali Linux - Search Processing Language (SPL) ## 展示的技能 - 威胁狩猎 - SIEM 操作 - 日志分析 - 网络流量分析 - 安全监控 - 事件调查 - DNS 分析 - HTTP 分析 - SSH 分析 - DHCP 分析 - 网络安全运营 ## 结论 本项目演示了如何使用 Splunk 和 Zeek 遥测数据跨多个协议对单个端点进行调查。通过关联 DHCP、DNS、HTTP 和 SSH 事件，我成功构建了全面的主机活动画像，并应用了现代安全运营中心 (SOC) 中常用的实用威胁狩猎技术。

标签：Rootkit, Zeek, 安全运营中心(SOC)