YOUY0U/Splunk-Boss-of-the-SOC-v1-Writeups
GitHub: YOUY0U/Splunk-Boss-of-the-SOC-v1-Writeups
该仓库是 Splunk BOTS v1 安全竞赛的调查报告,完整记录了网页篡改与勒索软件两个场景的 SIEM 分析过程、SPL 查询及 ATT&CK 映射。
Stars: 0 | Forks: 0
# Splunk Boss of the SOC v1 — 调查报告
本仓库记录了我对 **Splunk Boss of the SOC version 1 (2015)** 的调查过程。
其中包含两个事件:
1. **网页篡改** — `imreallynotbatman.com` 的被入侵与篡改。
2. **Cerber Ransomware** — `we8105desk` 工作站被感染以及远程共享文件被加密。
## 目录
| 场景 | 重点 | 问题数 | 报告 |
|---|---|---:|---|
| 1 | Web 扫描、暴力破解、恶意软件上传与 OSINT | 17 | [阅读场景 1](docs/scenario-1-web-defacement.md) |
| 2 | Cerber ransomware、Sysmon、Suricata、DNS 与 SMB | 12 | [阅读场景 2](docs/scenario-2-ransomware.md) |
其他资源:
- [事件时间线与妥协指标](docs/incident-summary.md)
- [MITRE ATT&CK 映射](docs/mitre-attack-mapping.md)
## 展示技能
- 分析 HTTP、DNS、SMB、Suricata、FortiGate 与 Sysmon 日志。
- 使用 `rex` 进行字段提取。
- 使用 `stats`、`values`、`dc`、`avg` 和 `count` 进行聚合。
- 使用 `_time`、`sort`、`transaction` 和 `convert` 进行时间线重建。
- 围绕 IP 地址、域名、URL、进程与哈希值进行调查轴心转换。
- 使用 VirusTotal 进行 OSINT 富集,以及使用 CyberChef 进行十六进制解码。
## 仓库结构
```
splunk-boss-of-the-soc-v1/
├── README.md
├── PREVIEW.md
├── assets/
│ ├── boss-of-the-soc-logo.png
│ ├── scenario-1/ # Splunk, VirusTotal, and CyberChef screenshots
│ └── scenario-2/ # Splunk screenshots for the Cerber scenario
├── docs/
│ ├── scenario-1-web-defacement.md
│ ├── scenario-2-ransomware.md
│ ├── incident-summary.md
│ └── mitre-attack-mapping.md
├── preview/
│ └── repository-preview.html
├── preview-local.bat
└── preview-local.sh
```
## 环境
这些搜索假设 BOTS v1 事件被索引在以下位置:
```
index=botsv1
```
为了避免遗漏历史事件,在进行实验时请选择 **All time**。
## 免责声明
此处记录的 IP 地址、域名、密码、可执行文件和哈希值均来自历史培训环境。它们作为调查证据予以保留,不应被视为当前的威胁指标。
本仓库未重新分发 BOTS v1 数据集。原始培训数据集可从 [官方 Splunk BOTS v1 仓库](https://github.com/splunk/botsv1) 获取。
标签:Boss of the SOC, Metaprompt, 安全运营, 扫描框架