Vivek11commits/Windows-Threat-Hunting

GitHub: Vivek11commits/Windows-Threat-Hunting

基于 Splunk 和模拟数据集的 Windows 威胁狩猎实战项目,提供 SPL 查询、仪表板和 MITRE ATT&CK 映射,帮助蓝队分析和检测可疑 Windows 活动。

Stars: 0 | Forks: 0

# Windows 威胁狩猎 ## 概述 本项目演示了使用 Splunk 和模拟 CSV 数据集进行 Windows 威胁狩猎。其目标是通过 SPL 查询和仪表板,识别可疑的 Windows 活动,例如 PowerShell 滥用、LOLBAS 执行、注册表持久化、DNS 查询、网络连接以及文件创建事件。 ## 功能 - Windows 威胁狩猎 - PowerShell 检测 - 编码命令检测 - LOLBAS 检测 - 注册表持久化监控 - DNS 查询监控 - 网络连接分析 - IOC 提取 - MITRE ATT&CK 映射 - Splunk 仪表板 ## 数据集 - 30 个模拟的 Windows 威胁狩猎事件 - CSV 格式 - 导入至 Splunk 索引: threat_hunting ## 使用的工具 - Splunk Enterprise - Windows - CSV 数据集 - SPL - MITRE ATT&CK - Git - GitHub ## 项目结构 Windows-Threat-Hunting/ ├── dataset/ ├── queries/ ├── docs/ ├── screenshots/ ├── README.md ├── LICENSE └── .gitignore ## MITRE ATT&CK - T1059.001 - T1071 - T1105 - T1218.005 - T1218.010 - T1218.011 - T1547.001 - T1082 - T1046 ## 作者 Vivek Kandpal SOC 分析师 | 蓝队 | Splunk | 威胁狩猎
标签:IP 地址批量处理, OpenCanary, SPL, Windows 调试器, 安全运营, 扫描框架, 插件系统, 无线安全, 检测规则, 网络信息收集, 网络安全研究, 网络资产发现