ericjohnson4/splunk-detection-engineering-threat-hunting-lab
GitHub: ericjohnson4/splunk-detection-engineering-threat-hunting-lab
该项目构建了一个完整的 Splunk SIEM 实验环境,用于 Windows 事件日志的摄入、自定义 SPL 检测规则的开发验证以及 PowerShell 威胁狩猎的实践。
Stars: 0 | Forks: 0
# Splunk 检测工程与威胁狩猎实验室
## 概述
本项目展示了 **Splunk Enterprise 10.4** 作为安全信息与事件管理(SIEM)平台的部署、配置和实际操作,用于检测工程和威胁狩猎。
通过配置 Windows 11 端点,将 Security、System、Application 和 PowerShell Operational 事件日志转发到 Splunk。我们开发、验证了自定义 SPL 检测,并将其整理到仪表板中,以模拟常见的安全运营中心(SOC)监控工作流程。
## 项目目标
- 部署和配置 Splunk Enterprise 10.4
- 配置 Windows 事件日志收集
- 启用 PowerShell Script Block Logging
- 开发自定义 SPL 检测查询
- 使用 Windows 事件 ID 验证安全检测
- 创建面向 SOC 的仪表板
- 利用 PowerShell 遥测数据执行威胁狩猎
## 实验环境
| 组件 | 技术 |
|------------|------------|
| SIEM | Splunk Enterprise 10.4 |
| 操作系统 | Windows 11 Pro |
| 检测语言 | SPL (Search Processing Language) |
| 日志来源 | Security, System, Application |
| 附加日志 | Microsoft-Windows-PowerShell/Operational |
| Index | security_lab |
## 检测工程
以下 Windows 安全事件已在 Splunk 中成功摄入并验证。
| 事件 ID | 检测 |
|----------|-----------|
| **4625** | 登录失败检测 |
| **4624** | 登录成功检测 |
| **4720** | 新用户账户创建检测 |
| **4104** | PowerShell Script Block Logging |
每项检测都作为独立的 SPL 查询包含在 **SPL** 目录中。
## 仪表板开发
开发了三个仪表板,以提高分析师对 Windows 安全事件的可见性。
- Windows 身份验证活动仪表板
- 账户管理活动仪表板
- PowerShell 威胁狩猎仪表板
这些仪表板为身份验证活动、账户管理事件和 PowerShell 执行遥测提供了集中的可见性。
## 威胁狩猎
通过组策略启用了 PowerShell Script Block Logging(事件 ID 4104),并将其摄入到 Splunk。
威胁狩猎活动包括:
- 验证 PowerShell Operational 日志收集
- 配置 `inputs.conf`
- 重启 Splunk 服务
- 使用 `btool` 验证日志摄入
- 开发用于 PowerShell 执行活动的 SPL 搜索
## MITRE ATT&CK 映射
| 检测 | ATT&CK 技术 |
|-----------|------------------|
| 登录失败 | T1110 – Brute Force |
| PowerShell 执行 | T1059.001 – PowerShell |
| 创建账户 | T1136 – Create Account |
## 展示技能
- SIEM 管理
- 检测工程
- 威胁狩猎
- Windows 事件分析
- SPL 查询开发
- 仪表板开发
- 安全监控
- Windows 日志记录
- PowerShell 日志记录
- SOC 运营
## 仓库结构
```
splunk-detection-engineering-threat-hunting-lab/
│
├── REPORT/
│ └── Splunk_Detection_Engineering_and_Threat_Hunting_Lab.pdf
│
├── SCREENSHOTS/
│ └── Project Figures
│
├── SPL/
│ ├── eventid_4624_detection.spl
│ ├── eventid_4625_detection.spl
│ ├── eventid_4720_detection.spl
│ └── eventid_4104_detection.spl
│
└── README.md
```
## 文档
完整的技术报告位于 **REPORT** 文件夹中,记录了以下内容:
- Splunk 部署
- Windows 日志摄入
- 检测工程
- PowerShell 日志配置
- 威胁狩猎
- 仪表板开发
- 发现与经验教训
## 关键收获
本项目通过部署 SIEM 平台、开发自定义检测、执行 PowerShell 威胁狩猎以及创建安全监控仪表板,展示了实用的 SOC 分析师技能。它反映了负责企业环境中监控、检测工程和事件调查的安全分析师所执行的许多职责。
## 作者
**Eric Johnson**
- GitHub: https://github.com/ericjohnson4
- CompTIA Security+
- CompTIA CySA+
- 网络安全硕士(在读)
标签:AI合规, 安全运营中心, 网络映射