mallikarjunarajaka6-tech/SOC-L1-Splunk-BOTSv1-ThreatHunting

GitHub: mallikarjunarajaka6-tech/SOC-L1-Splunk-BOTSv1-ThreatHunting

基于 Splunk 和 BOTSv1 数据集构建的 SOC L1 威胁狩猎实验,展示了针对 MITRE ATT&CK 多种技术的检测流程与非标准日志排查方案。

Stars: 0 | Forks: 0

# SOC L1 威胁狩猎实验室 – BOTSv1 Splunk ## 项目概述 使用 Splunk Enterprise 和 BOTSv1 仅攻击数据集构建了 SOC L1 威胁狩猎实验室。重点关注检测 T1110 Brute Force、T1078 Valid Accounts,并验证 T1003 Credential Dumping。主要成果:排查了非标准日志 schema 问题,并记录了生产环境的修复方案。 ## 展示技能 Splunk SPL、MITRE ATT&CK T1110/T1078/T1003、日志分析、数据排查、True Negative 文档记录、检测工程、SOC L1 工作流 ## 关键发现 1. **T1110 Brute Force**:检测到 28 次失败的登录 EventCode 4625 2. **T1078 Valid Accounts**:验证了 6,464 次成功的登录 EventCode 4624 3. **Schema 挑战**:由于 URL 编码的代理日志,标准的 `stats by user` 返回 0 行 4. **True Negative**:对 T1003 Mimikatz 的狩猎返回 0 个结果,证明了检测覆盖范围的有效性 5. **修复方案**:记录了用于生产环境告警的 `rex` 字段提取方法 ## 概念验证 – SOC L1 威胁狩猎实验室 ### 目标 展示端到端的 SOC L1 工作流:检测 T1110 Brute Force、排查非标准日志 schema、验证 true negative,并记录生产环境的修复方案。数据集:BOTSv1 仅攻击数据。 ### 环境 - **工具**:Splunk Enterprise 9.x 免费试用版 - **数据集**:BOTSv1,`index=botsv1` - **时间范围**:所有时间 - **MITRE 技术**:T1110 凭证访问、T1078 防御规避、T1003 凭证转储 ### POC 步骤 – 可复现 #### 步骤 1:检测 T1110 Brute Force 活动 ``` index=botsv1 sourcetype=botsv1 4625 | stats count as failed_logons ```
标签:安全运营, 扫描框架, 管理员页面发现, 红队行动