Vivek11commits/Threat-Hunting-SOC-Lab

# 使用 Splunk + Sysmon 的高级威胁狩猎 SOC 实验室 ## 项目概述 本项目演示了一个使用 Splunk Enterprise 和 Microsoft Sysmon 构建的完整 SOC 威胁狩猎实验室。主要侧重于检测基于 Windows 的攻击，监控进程创建、PowerShell 活动、注册表持久化、网络连接，并使用 Splunk 搜索处理语言 (SPL) 进行事件调查。 该实验室模拟了真实的 SOC 分析师工作流程，并将检测结果映射到 MITRE ATT&CK 框架。 # 目标 * 监控 Windows Sysmon 日志 * 检测可疑的 PowerShell 执行 * 检测注册表持久化 * 检测进程创建 * 检测网络连接 * 创建 Splunk Dashboard * 执行事件调查 * 将检测结果映射到 MITRE ATT&CK # 使用的技术 * Splunk Enterprise * Splunk Universal Forwarder * Microsoft Sysmon * Windows 事件日志 * PowerShell * SPL (搜索处理语言) * GitHub # 项目结构 ``` docs/ splunk_queries/ dashboard/ screenshots/ README.md LICENSE .gitignore ``` # 检测用例 * 进程创建监控 * PowerShell 检测 * 编码型 PowerShell 检测 * 注册表持久化检测 * 凭据访问检测 * 网络连接监控 * 威胁狩猎时间线 # Dashboard Splunk Dashboard 包含： * Sysmon 事件总数 * 最活跃的运行进程 * PowerShell 活动 * 注册表持久化检测 * 网络连接 * 最新的 Sysmon 事件 # MITRE ATT&CK 映射 | 检测项 | 技术 | | ------------------- | --------- | | 进程创建 | T1057 | | PowerShell | T1059.001 | | 注册表 Run Keys | T1547.001 | | 凭据访问 | T1003 | | 网络连接 | T1049 | # 截图 * Sysmon 日志 * PowerShell 检测 * 编码命令检测 * 注册表持久化 * 凭据访问检测 * 网络连接 * Splunk Dashboard # 展示的技能 * SOC 监控 * 威胁狩猎 * Windows 日志分析 * Splunk SPL * Sysmon 分析 * MITRE ATT&CK 映射 * 事件调查 * Dashboard 开发 # 未来改进 * Sigma 规则 * Splunk 警报 * 关联搜索 * SOAR 集成 * IOC 管理 * YARA 集成 ## 作者 **Vivek Kandpal** SOC 分析师 | 威胁猎人 | 蓝队爱好者

标签：AI合规, Cloudflare, MITRE ATT&CK, Mr. Robot, OpenCanary, Sysmon, 安全运营, 扫描框架