Aravinth-97/windows-threat-hunting-lab
GitHub: Aravinth-97/windows-threat-hunting-lab
基于 Splunk 和 Windows 事件日志构建的威胁狩猎实验环境,用于安全监控与事件分析演练。
Stars: 0 | Forks: 0
# 使用 Splunk 的 Windows 威胁狩猎实验室
## 概述
本项目演示了如何使用 Windows Event Logs 和 Splunk Enterprise 进行威胁狩猎。
## 架构
Windows 机器
↓
Splunk Universal Forwarder
↓
Splunk Enterprise (Kali Linux)
## 威胁场景
* 登录失败 (Event ID 4625)
* 登录成功 (Event ID 4624)
* 用户创建 (Event ID 4720)
* 用户删除 (Event ID 4726)
* 管理员组更改 (Event ID 4732)
* 服务创建 (Event ID 7045)
## 仪表板
## 展示技能
* 威胁狩猎
* Splunk 管理
* Windows Event Log 分析
* 安全监控
* 事件调查
## MITRE ATT&CK 映射
| 活动 | 技术 |
| ---------------------------- | --------- |
| 账户发现 | T1087 |
| 系统信息发现 | T1082 |
| 网络服务发现 | T1046 |
| 有效账户 | T1078 |
| 账户操纵 | T1098 |
## 作者
Aravinth S
标签:安全实验环境, 插件系统, 无线安全