YOUY0U/Splunk-Boss-of-the-SOC-v1-Writeups

GitHub: YOUY0U/Splunk-Boss-of-the-SOC-v1-Writeups

该仓库是 Splunk BOTS v1 安全竞赛的调查报告,完整记录了网页篡改与勒索软件两个场景的 SIEM 分析过程、SPL 查询及 ATT&CK 映射。

Stars: 0 | Forks: 0

Boss of the SOC 2016 logo

# Splunk Boss of the SOC v1 — 调查报告

Splunk BOTS v1 dataset 2 scenarios 29 questions

本仓库记录了我对 **Splunk Boss of the SOC version 1 (2015)** 的调查过程。 其中包含两个事件: 1. **网页篡改** — `imreallynotbatman.com` 的被入侵与篡改。 2. **Cerber Ransomware** — `we8105desk` 工作站被感染以及远程共享文件被加密。 ## 目录 | 场景 | 重点 | 问题数 | 报告 | |---|---|---:|---| | 1 | Web 扫描、暴力破解、恶意软件上传与 OSINT | 17 | [阅读场景 1](docs/scenario-1-web-defacement.md) | | 2 | Cerber ransomware、Sysmon、Suricata、DNS 与 SMB | 12 | [阅读场景 2](docs/scenario-2-ransomware.md) | 其他资源: - [事件时间线与妥协指标](docs/incident-summary.md) - [MITRE ATT&CK 映射](docs/mitre-attack-mapping.md) ## 展示技能 - 分析 HTTP、DNS、SMB、Suricata、FortiGate 与 Sysmon 日志。 - 使用 `rex` 进行字段提取。 - 使用 `stats`、`values`、`dc`、`avg` 和 `count` 进行聚合。 - 使用 `_time`、`sort`、`transaction` 和 `convert` 进行时间线重建。 - 围绕 IP 地址、域名、URL、进程与哈希值进行调查轴心转换。 - 使用 VirusTotal 进行 OSINT 富集,以及使用 CyberChef 进行十六进制解码。 ## 仓库结构 ``` splunk-boss-of-the-soc-v1/ ├── README.md ├── PREVIEW.md ├── assets/ │ ├── boss-of-the-soc-logo.png │ ├── scenario-1/ # Splunk, VirusTotal, and CyberChef screenshots │ └── scenario-2/ # Splunk screenshots for the Cerber scenario ├── docs/ │ ├── scenario-1-web-defacement.md │ ├── scenario-2-ransomware.md │ ├── incident-summary.md │ └── mitre-attack-mapping.md ├── preview/ │ └── repository-preview.html ├── preview-local.bat └── preview-local.sh ``` ## 环境 这些搜索假设 BOTS v1 事件被索引在以下位置: ``` index=botsv1 ``` 为了避免遗漏历史事件,在进行实验时请选择 **All time**。 ## 免责声明 此处记录的 IP 地址、域名、密码、可执行文件和哈希值均来自历史培训环境。它们作为调查证据予以保留,不应被视为当前的威胁指标。 本仓库未重新分发 BOTS v1 数据集。原始培训数据集可从 [官方 Splunk BOTS v1 仓库](https://github.com/splunk/botsv1) 获取。
标签:Boss of the SOC, Metaprompt, 安全运营, 扫描框架