analyzing-security-logs-with-splunk

使用 Splunk 分析安全日志

适用场景

• 调查需要跨多个日志源进行关联的安全事件
• 使用已知 TTP 和 IOC 进行威胁狩猎
• 针对特定攻击模式构建检测规则
• 从分散的日志源中重建事件时间线
• 分析异常认证行为、横向移动或数据外泄模式

不适用于实时数据包级别分析；全流量分析请使用 Wireshark 或 Zeek。

前置条件

• 安装了 Enterprise Security（ES）应用的 Splunk Enterprise 或 Splunk Cloud
• 已接入的日志源：Windows 事件日志（通过 Splunk Universal Forwarder 或 WEF）、防火墙、代理、DNS、EDR、邮件网关
• 配置了 Splunk CIM（Common Information Model，通用信息模型）数据模型，用于规范化字段名
• 中级及以上 SPL 能力
• 在 Splunk 中拥有 search 和 accelerate_search 能力的基于角色的访问权限

工作流程

步骤 1：在 Splunk 中界定调查范围

根据事件分诊数据定义搜索参数：

| 设置初始调查范围
index=windows OR index=firewall OR index=proxy
  earliest="2025-11-14T00:00:00" latest="2025-11-16T00:00:00"
  (host="WKSTN-042" OR src_ip="10.1.5.42" OR user="jsmith")
| stats count by index, sourcetype, host
| sort -count

此查询确定哪些日志源包含调查时间段和受影响资产的相关数据。

步骤 2：分析认证事件

使用 Windows 安全事件日志调查可疑认证模式：

| 检测暴力破解和撞库攻击
index=windows sourcetype="WinEventLog:Security" EventCode=4625
  earliest=-24h
| stats count as failed_attempts, values(src_ip) as source_ips,
  dc(src_ip) as unique_sources by TargetUserName
| where failed_attempts > 10
| sort -failed_attempts

| 检测哈希传递（Logon Type 9 - NewCredentials）
index=windows sourcetype="WinEventLog:Security" EventCode=4624
  Logon_Type=9
| table _time, host, TargetUserName, src_ip, LogonProcessName

| 通过 RDP 检测横向移动
index=windows sourcetype="WinEventLog:Security" EventCode=4624
  Logon_Type=10
| stats count, values(host) as targets by TargetUserName, src_ip
| where count > 3
| sort -count

步骤 3：追踪进程执行

使用 Sysmon 日志重建进程执行链：

| 带父进程链的进程创建（Sysmon Event ID 1）
index=sysmon EventCode=1 host="WKSTN-042"
  earliest="2025-11-15T14:00:00" latest="2025-11-15T15:00:00"
| table _time, ParentImage, ParentCommandLine, Image, CommandLine, User, Hashes
| sort _time

| 检测可疑 PowerShell 执行
index=sysmon EventCode=1 Image="*\\powershell.exe"
  (CommandLine="*-enc*" OR CommandLine="*-encodedcommand*"
   OR CommandLine="*downloadstring*" OR CommandLine="*iex*")
| table _time, host, User, ParentImage, CommandLine
| sort _time

| 检测 LSASS 凭据转储
index=sysmon EventCode=10 TargetImage="*\\lsass.exe"
  GrantedAccess=0x1010
| table _time, host, SourceImage, SourceUser, GrantedAccess

步骤 4：分析网络活动

将网络日志与端点事件进行关联：

| 检测 C2 信标模式
index=proxy OR index=firewall dest_ip="185.220.101.42"
| timechart span=1m count by src_ip
| where count > 0

| 检测 DNS 隧道（向单一域名发送大量查询）
index=dns
| rex field=query "(?<subdomain>[^\.]+)\.(?<domain>[^\.]+\.[^\.]+)$"
| stats count, avg(len(query)) as avg_query_len by domain, src_ip
| where count > 500 AND avg_query_len > 40
| sort -count

| 检测大量数据传输（潜在外泄）
index=proxy action=allowed
| stats sum(bytes_out) as total_bytes by src_ip, dest_ip, dest_host
| eval total_MB=round(total_bytes/1024/1024,2)
| where total_MB > 100
| sort -total_MB

步骤 5：构建事件时间线

跨所有日志源重建统一时间线：

| 统一事件时间线
index=windows OR index=sysmon OR index=proxy OR index=firewall
  (host="WKSTN-042" OR src_ip="10.1.5.42" OR user="jsmith")
  earliest="2025-11-15T14:00:00" latest="2025-11-15T16:00:00"
| eval event_summary=case(
    sourcetype=="WinEventLog:Security" AND EventCode==4624, "登录: ".TargetUserName." 来自 ".src_ip,
    sourcetype=="WinEventLog:Security" AND EventCode==4625, "登录失败: ".TargetUserName,
    sourcetype=="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" AND EventCode==1,
      "进程: ".Image." 由 ".User." 执行",
    sourcetype=="proxy", "Web: ".http_method." ".url,
    1==1, sourcetype.": ".EventCode)
| table _time, sourcetype, host, event_summary
| sort _time

步骤 6：创建检测规则

将调查发现转化为持续性 Splunk 关联搜索：

| 关联搜索：Office 应用程序生成的 PowerShell
index=sysmon EventCode=1
  Image="*\\powershell.exe"
  (ParentImage="*\\winword.exe" OR ParentImage="*\\excel.exe"
   OR ParentImage="*\\outlook.exe")
| eval severity="high"
| eval mitre_technique="T1059.001"
| collect index=notable_events

核心概念

术语	定义
SPL（搜索处理语言）	Splunk 的查询语言，用于搜索、过滤、转换和可视化机器数据
CIM（通用信息模型）	Splunk 的字段规范化标准，将厂商特定字段名映射为通用名称，以支持跨源查询
Notable Event（显著事件）	Splunk Enterprise Security 中基于关联搜索匹配而标记供分析师审查的事件
Data Model（数据模型）	Splunk 中索引数据的结构化表示，支持加速搜索和基于透视的分析
Sourcetype（数据源类型）	Splunk 中定义特定日志类型格式和解析规则的分类标签
Correlation Search（关联搜索）	持续运行的 Splunk 计划搜索，当条件满足时生成显著事件
Timechart（时间图表）	SPL 命令，创建时序可视化图表以识别模式、异常和趋势

工具与系统

• Splunk Enterprise Security（ES）：高级 SIEM 应用，提供关联搜索、基于风险的告警和调查工作台
• Splunk SOAR：与 Splunk ES 集成的编排平台，用于自动化响应手册
• Sysmon：Microsoft 系统监控工具，提供详细的进程、网络和文件变更遥测，并接入 Splunk
• Splunk Attack Analyzer：自动化威胁分析工具，对可疑文件和 URL 进行沙箱分析，并将结果输入 Splunk
• BOSS of the SOC（BOTS）：SANS/Splunk 训练数据集，用于练习事件调查 SPL 查询

常见场景

场景：调查撞库攻击导致的账户接管

场景背景：安全运营收到告警：同一账户在 30 分钟内从地理位置分散的 IP 地址多次成功登录。

方法：

1. 查询受影响账户的 Event ID 4624，映射所有登录来源和时间
2. 使用 Splunk 查找表将登录 IP 与威胁情报源进行关联
3. 检查来自已认证会话的代理日志中的可疑活动
4. 搜索受损账户的横向移动（Event ID 4624 Type 3 到其他主机）
5. 构建时间线，展示撞库攻击尝试、成功登录及攻陷后活动
6. 创建关联搜索以检测其他账户上的类似模式

常见陷阱：

• 仅搜索最近 24 小时，而撞库攻击可能持续数周
• 未检查 VPN 日志（可能显示同一账户从不可能的地理距离进行认证）
• 未将不同时区的日志源的时间戳进行规范化

输出格式

SPLUNK 调查报告
============================
事件编号:         INC-2025-1547
分析人员:         [姓名]
调查时段:         2025-11-14 00:00 UTC - 2025-11-16 00:00 UTC

搜索范围
索引:             windows, sysmon, proxy, firewall, dns
主机:             WKSTN-042, SRV-FILE01
用户:             jsmith, svc-backup
源 IP:            10.1.5.42, 10.1.10.15

关键发现
1. [时间戳] - 通过钓鱼邮件初始入侵（Sysmon Event 1）
2. [时间戳] - C2 已建立（代理日志，检测到信标模式）
3. [时间戳] - 凭据窃取（Sysmon Event 10，LSASS 访问）
4. [时间戳] - 横向移动至 SRV-FILE01（Event 4624 Type 3）
5. [时间戳] - 数据暂存和外泄（代理 bytes_out 异常）

使用的 SPL 查询
[关键查询的编号列表及描述]

发现的检测盲区
- SRV-FILE01 上未部署 Sysmon（存在盲区）
- 代理日志缺少对 C2 域名的 SSL 检测
- PowerShell ScriptBlock 日志记录未启用

推荐检测规则
1. Office 生成 PowerShell 的关联搜索
2. LSASS 访问模式的阈值告警
3. 信标间隔网络流量的行为规则