mallikarjunarajaka6-tech/SOC-L1-Splunk-BOTSv1-ThreatHunting
GitHub: mallikarjunarajaka6-tech/SOC-L1-Splunk-BOTSv1-ThreatHunting
基于 Splunk 和 BOTSv1 数据集构建的 SOC L1 威胁狩猎实验,展示了针对 MITRE ATT&CK 多种技术的检测流程与非标准日志排查方案。
Stars: 0 | Forks: 0
# SOC L1 威胁狩猎实验室 – BOTSv1 Splunk
## 项目概述
使用 Splunk Enterprise 和 BOTSv1 仅攻击数据集构建了 SOC L1 威胁狩猎实验室。重点关注检测 T1110 Brute Force、T1078 Valid Accounts,并验证 T1003 Credential Dumping。主要成果:排查了非标准日志 schema 问题,并记录了生产环境的修复方案。
## 展示技能
Splunk SPL、MITRE ATT&CK T1110/T1078/T1003、日志分析、数据排查、True Negative 文档记录、检测工程、SOC L1 工作流
## 关键发现
1. **T1110 Brute Force**:检测到 28 次失败的登录 EventCode 4625
2. **T1078 Valid Accounts**:验证了 6,464 次成功的登录 EventCode 4624
3. **Schema 挑战**:由于 URL 编码的代理日志,标准的 `stats by user` 返回 0 行
4. **True Negative**:对 T1003 Mimikatz 的狩猎返回 0 个结果,证明了检测覆盖范围的有效性
5. **修复方案**:记录了用于生产环境告警的 `rex` 字段提取方法
## 概念验证 – SOC L1 威胁狩猎实验室
### 目标
展示端到端的 SOC L1 工作流:检测 T1110 Brute Force、排查非标准日志 schema、验证 true negative,并记录生产环境的修复方案。数据集:BOTSv1 仅攻击数据。
### 环境
- **工具**:Splunk Enterprise 9.x 免费试用版
- **数据集**:BOTSv1,`index=botsv1`
- **时间范围**:所有时间
- **MITRE 技术**:T1110 凭证访问、T1078 防御规避、T1003 凭证转储
### POC 步骤 – 可复现
#### 步骤 1:检测 T1110 Brute Force 活动
```
index=botsv1 sourcetype=botsv1 4625
| stats count as failed_logons
```
标签:安全运营, 扫描框架, 管理员页面发现, 红队行动