1. 前置环境

开源我的项目地址：该我的项目是将 sysmon 事件通过 splunk app 映射到 ATT&CK 上，能够疾速的进行剖析。搭建过程中开始始终不出数据，这里记录搭建的过程。

https://github.com/olafhartong/ThreatHunting

https://github.com/olafhartong/sysmon-modular

环境：

Windows 主机一台，曾经装置 splunk 转发器

Linux 服务器一台，曾经装置 splunk

2.Windows 客户端配置

2.1 装置 sysmon

Sysmon 下载：https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon

规定文件下载（这个规定是这个我的项目配套的）：

https://github.com/olafhartong/sysmon-modular/blob/master/sysmonconfig.xml

装置 sysmon：sysmon.exe -accepteula -i sysmonconfig.xml

后续更新规定：sysmon.exe -c sysmonconfig.xml

验证：在事件查看器 应用程序和服务日志 >Microsoft>Windows>Sysmon>Operational 中能够看到事件日志。

2.2 配置 splunk 采集

在以下门路配置文件中，配置采集内容（老外的视频是把 sysmon，splunk 服务端装置在一起，所以间接在 splunk 中抉择即可，个别状况下都是要配置转发器）

C:\Program Files\SplunkUniversalForwarder\etc\apps\SplunkUniversalForwarder\default 门路下的 inputs.conf 配置文件，配置如下内容：

[WinEventLog://Microsoft-Windows-Sysmon/Operational]

disabled = false

renderXml = false

index = windows

source = WinEventLog:Microsoft-Windows-Sysmon/Operational

如下图所示：（目标是为了采集 Sysmon 日志，并采集到 splunk 的 windows 索引中，指定 source 类型，不解析 Xml。这几行配置都很重要，跟前面的内容是一一对应的）

配置实现后，重启 splunk，到 bin 门路下执行 splunk.exe restart

验证：在实现了 3.3 索引建设当前，能够通过 index=”windows”搜寻数据，source 肯定要配对，不然关联不上数据

3.Linux 服务端配置

3.1 装置 threathunting APP

在查找更多利用中搜寻

装置实现后会看到 app 呈现在列表中

3.2 装置依赖 APP,lookup 文件

进入 threathunting APP，点击对于 >About this app, 会看到一堆依赖的 app 和 csv 文件

须要装置的 app：

Force Directed Visualisation App for Splunk

Link Analysis App for Splunk

Punchcard

Sankey Diagram

Timeline

到 splunk 的 app 治理中顺次装置，其中 Microsoft Sysmon Add-on 能够不装置，老外的视频说依据教训装了会出问题。

上传白名单的 csv 文件：

文件下载门路：

https://github.com/olafhartong/ThreatHunting/raw/master/files/ThreatHunting.tar.gz

上传到装置 splunk 的服务器，解压到 splunk/etc/apps/ThreatHunting/lookups 门路下（依据你装置 splunk 的门路做调整）。

验证: 刷新页面，显示只有 Microsoft Sysmon Add-on 没装置

3.3 建设索引

建设 windows 和 threathunting 索引，windows 索引用来接管 agent 上来的原始数据，threathunting 接管的是 windows 索引加工统计后的数据，这里比拟不好了解。

留神：索引名称肯定要对，数据完整性查看要抉择 Enable, 应要抉择 ThreatHunting（如果是从 ThreatHunting 跳过去默认会选这个，然而如果从其余利用过去会建到其余利用去）

验证：

4. 成果

5. 遇到的一些坑

5.1 仪表盘上没有数据

1. 利用首页的数据须要从 windows 索引进行统计分析输出到 threathunting 索引，这个比较慢，会等比拟久
2. Windows 和 threathunting 索引建到别的利用上面去了，参考 3.3
3. Source 类型不对

5.2 原文中批改配置

原文中有这么一部分，旧的版本 sysmon 配置只有 source=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”，前面变成了 source=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational”，所以新版本是不须要批改的。

5.3 一些查问没有后果

有些语句 app 写的有问题，参考最初的视频，找到原始语句进行查问，对报错语句进行批改并保留。通过这个办法遇到其余没后果的也能够应用相似的调试形式。

5.4 谬误 could not load lookup=lookup-eventcode

参考解决方案：

https://community.splunk.com/t5/All-Apps-and-Add-ons/ThreatHunting-app-by-Olaf-Hartong-Red-Triangle-Error-quot-Could/td-p/482176

5.5source 的作用

App 的宏配置中有定义 sysmon，而很多查问语句应用 `sysmon` 进行查问，所以配置 source 时须要 source 是精确的，尽量保障

source=”WinEventLog:Microsoft-Windows-Sysmon/Operational”。

`sysmon` 是个宏，会被替换成

index=windows (source=”XmlWinEventLog:Microsoft-Windows-Sysmon/Operational” OR source=”WinEventLog:Microsoft-Windows-Sysmon/Operational”)

6. 参考原文

https://www.linkedin.com/pulse/attckized-splunk-kirtar-oza-cissp-cisa-ms-/

https://www.youtube.com/watch?v=GVM8RRyQx7s&feature=youtu.be