ThreatHunting仪表板完全指南：从Process Create到DNS监控的8大场景实战

ThreatHunting仪表板完全指南：从Process Create到DNS监控的8大场景实战

【免费下载链接】ThreatHuntingA Splunk app mapped to MITRE ATT&CK to guide your threat hunts项目地址: https://gitcode.com/gh_mirrors/thr/ThreatHunting

ThreatHunting是一款基于MITRE ATT&CK框架的Splunk应用，专为威胁狩猎设计，帮助安全分析师通过预定义的仪表板和视图快速识别潜在威胁。本文将带您深入了解该工具的8大核心监控场景，从进程创建到DNS活动追踪，掌握实用的威胁狩猎技巧。

1. 初识ThreatHunting：MITRE ATT&CK矩阵全景

ThreatHunting应用的核心价值在于将复杂的MITRE ATT&CK框架可视化，提供直观的威胁狩猎指导。其攻击矩阵视图涵盖了从初始访问、执行、持久化到命令与控制等全攻击生命周期的战术和技术。

图1：ThreatHunting攻击矩阵展示了所有MITRE ATT&CK战术与技术对应关系，帮助分析师系统开展威胁狩猎

矩阵中的每个技术点都可直接点击钻取，关联到具体的日志分析视图，实现从宏观到微观的威胁排查。配置文件路径：default/data/ui/views/mitre_attack_overview.xml

2. 进程创建监控（Process Create）：威胁入口检测

进程创建是恶意代码执行的首要环节，ThreatHunting提供了多层次的进程监控能力：

• 基础监控：通过process_create_whitelist.xml定义正常进程基线，快速发现异常进程
• 进程链分析：在rare_process_chains.xml视图中识别罕见的进程父子关系
• 详细钻取：通过process_guid_drilldown.xml追踪特定进程的完整生命周期

实战技巧：关注cmd.exe、powershell.exe等敏感进程的异常父进程，如Office文档或可疑服务启动的命令行进程。

3. DNS监控：网络通信异常追踪

DNS请求是恶意软件通信的常见渠道，ThreatHunting提供了全方位的DNS活动监控：

• DNS堆叠分析：在dns_stacking.xml中按主机和进程维度聚合DNS请求
• 异常域名识别：通过dns_whitelist.xml定义可信域名，自动标记可疑解析
• 上下文关联：在computer_drilldown.xml中查看特定主机的DNS请求历史

实战案例：检测短时间内大量请求随机域名的主机，可能存在DNS隧道或恶意域名生成算法（DGA）活动。

4. 网络连接分析：横向移动检测

网络连接是威胁横向扩散的关键途径，相关监控视图包括：

• network_connection_drilldown.xml：提供连接详情的深度分析
• lateral_movement_indicators.xml：专门识别横向移动特征
• network_whitelist.xml：定义可信网络连接基线

关键指标：关注非标准端口的连接、内部IP间的异常访问模式、以及与已知恶意IP的通信。

5. 文件活动监控：恶意文件检测与追踪

文件创建、修改和访问是恶意活动的重要痕迹，ThreatHunting提供：

• file_create_drilldown.xml：追踪文件创建事件
• file_prevalence_overview.xml：分析文件在网络中的分布
• file_access_whitelist.xml：定义正常文件访问规则

重点关注：系统目录中的异常文件创建、具有可疑扩展名的文件（如.ps1、.bat）以及罕见路径下的可执行文件。

6. 注册表监控：持久化机制检测

恶意软件常通过修改注册表实现持久化，相关监控视图包括：

• registry_whitelist.xml：定义可信注册表操作
• sysmon_tuning.xml：配置注册表监控规则
• process_guid_drilldown.xml：关联进程与注册表修改

检测重点：Run键值、服务注册、文件关联等常见持久化位置的异常修改。

7. 权限提升监控：特权账户异常活动

权限提升是威胁获取系统控制权的关键步骤，可通过以下视图监控：

• coverage.xml：查看权限提升技术的覆盖情况
• user_drilldown.xml：分析特定用户的权限变更
• rare_process_chains.xml：识别特权进程的异常启动方式

实战建议：重点监控管理员账户的非工作时间活动、特权进程的异常命令行参数。

8. 威胁狩猎概览：全局安全态势感知

ThreatHunting提供全局视图帮助分析师把握整体安全态势：

• threat_hunting_overview.xml：综合展示关键威胁指标
• newly_observed_hashes.xml：监控新出现的文件哈希
• coverage.xml：评估检测规则对MITRE ATT&CK技术的覆盖程度

使用技巧：定期检查概览仪表板，关注异常指标的突然变化，这些往往是潜在威胁的早期信号。

快速上手：ThreatHunting安装与配置

1. 克隆仓库：git clone https://gitcode.com/gh_mirrors/thr/ThreatHunting
2. 按照default/data/ui/views/pre-requirements.xml配置系统依赖
3. 导入应用到Splunk并完成初始设置
4. 访问default/data/ui/views/getting_started.xml开始威胁狩猎之旅

通过ThreatHunting的这些核心场景，安全团队可以构建起全面的威胁检测能力，将MITRE ATT&CK框架的理论知识转化为实际的安全运营能力，有效提升组织的威胁发现效率。

【免费下载链接】ThreatHuntingA Splunk app mapped to MITRE ATT&CK to guide your threat hunts项目地址: https://gitcode.com/gh_mirrors/thr/ThreatHunting