Vivek11commits/Windows-Threat-Hunting
GitHub: Vivek11commits/Windows-Threat-Hunting
基于 Splunk 和模拟数据集的 Windows 威胁狩猎实战项目,提供 SPL 查询、仪表板和 MITRE ATT&CK 映射,帮助蓝队分析和检测可疑 Windows 活动。
Stars: 0 | Forks: 0
# Windows 威胁狩猎
## 概述
本项目演示了使用 Splunk 和模拟 CSV 数据集进行 Windows 威胁狩猎。其目标是通过 SPL 查询和仪表板,识别可疑的 Windows 活动,例如 PowerShell 滥用、LOLBAS 执行、注册表持久化、DNS 查询、网络连接以及文件创建事件。
## 功能
- Windows 威胁狩猎
- PowerShell 检测
- 编码命令检测
- LOLBAS 检测
- 注册表持久化监控
- DNS 查询监控
- 网络连接分析
- IOC 提取
- MITRE ATT&CK 映射
- Splunk 仪表板
## 数据集
- 30 个模拟的 Windows 威胁狩猎事件
- CSV 格式
- 导入至 Splunk
索引:
threat_hunting
## 使用的工具
- Splunk Enterprise
- Windows
- CSV 数据集
- SPL
- MITRE ATT&CK
- Git
- GitHub
## 项目结构
Windows-Threat-Hunting/
├── dataset/
├── queries/
├── docs/
├── screenshots/
├── README.md
├── LICENSE
└── .gitignore
## MITRE ATT&CK
- T1059.001
- T1071
- T1105
- T1218.005
- T1218.010
- T1218.011
- T1547.001
- T1082
- T1046
## 作者
Vivek Kandpal
SOC 分析师 | 蓝队 | Splunk | 威胁狩猎
标签:IP 地址批量处理, OpenCanary, SPL, Windows 调试器, 安全运营, 扫描框架, 插件系统, 无线安全, 检测规则, 网络信息收集, 网络安全研究, 网络资产发现