开源项目：Splunk威胁狩猎应用

开源项目：Splunk威胁狩猎应用

ThreatHunting A Splunk app mapped to MITRE ATT&CK to guide your threat hunts 项目地址: https://gitcode.com/gh_mirrors/thr/ThreatHunting

1. 项目介绍

本项目是一个Splunk应用，旨在通过映射MITRE ATT&CK框架来指导威胁狩猎活动。该应用包含了多个仪表板和超过130份报告，这些报告将帮助用户发现初步的狩猎指标，以便进一步调查。请注意，这个应用并不是万能的，它需要根据您的环境进行调整，并且需要进行实际的分析工作才能有效。

2. 项目快速启动

在开始之前，请确保您的系统已经配置了Sysmon数据输入到Splunk中。以下是一个良好的配置参考。

# 安装Splunk应用
# 下载应用文件，然后在上传到Splunk应用目录中

# 解压应用文件到Splunk的本地应用程序目录
cd /opt/splunk/etc/apps
tar -xvf ThreatHunting.tar.gz

# 重启Splunk服务
service splunk restart

# 在Splunk Web界面中，转到“管理”>“应用程序”>“ThreatHunting”进行配置

确保在索引器上存在threathunting索引，并编辑宏以适应您的环境。您可以在以下位置编辑宏：

https://YOURSPLUNK/en-US/manager/ThreatHunting/admin/macros

请确保源类型设置正确。

应用中没有附带白名单查找文件，您需要自己创建这些文件。这样可以避免在应用升级时意外覆盖它们。

3. 应用案例和最佳实践

• 案例1：使用仪表板进行实时监控，通过分析网络流量数据来识别异常行为。
• 案例2：通过报告分析系统日志，发现潜在的恶意活动模式。

最佳实践：

• 定期与系统管理员沟通，以了解系统中发生的正常行为，从而更好地识别异常。
• 定期更新和调整狩猎指标，以适应不断变化的威胁环境。

4. 典型生态项目

• Splunk：作为本项目的基础平台，Splunk提供了强大的数据分析能力。
• Sysmon：一个Windows系统监控工具，用于收集系统活动数据，是本项目数据来源的重要组成部分。
• MITRE ATT&CK：一个全球性的威胁信息库，本项目基于此框架进行威胁狩猎。

以上就是Splunk威胁狩猎应用的简要介绍、快速启动指南、应用案例和最佳实践，以及相关的典型生态项目。希望对您有所帮助！

ThreatHunting A Splunk app mapped to MITRE ATT&CK to guide your threat hunts 项目地址: https://gitcode.com/gh_mirrors/thr/ThreatHunting