https://splunkbase.splunk.com/app/4305/ ， 附带的视频介绍非常清晰地演示了该插件的用法 ， 参见：https://youtu.be/zcTrXP7scTU 。
如果想要看大佬对SYSMON的演讲视频 ， EndpointDetectionSuperPowersinSplunkDemo ， 参见：http://www.irongeek.com/i.php?page=videos/derbycon9/stable-36-endpoint-detection-super-powers-on-the-cheap-with-sysmon-olaf-hartong 。 没有梯子的同学就只能看我搬砖过来的PDF文件了 ，
当装好了ThreatHunting插件后 ， 我们就可以在SPLUNK中启用这个APP ， 如下图所示 ， 这张图通过ATT&CK的映射一一展现了系统被命中的威胁指标情况 。

文章图片
针对主要的几个界面 ， 我简单的做下介绍：
这个页面将主要做数据追踪使用 ， 将计算机 ， 用户 ， 文件创建 ， 网络连接 ， 管道 ， 父子进程等做了非常详细的一个聚合 ， 可以很轻易的将你关心的数据信息呈现出来 。

文章图片
例如：该主机分析面板上将主机的所有活动进程进行聚合 ， 可以非常清晰地了解到什么时间 ， 什么用户 ， 执行了什么程序 ， 什么参数

文章图片
是否检测到了Mimikatz的可疑加载
又有哪些进程的对外连接等等

文章图片
而这个网络子面板通过搜索源目标和目的目标可以构建一张描叙了所有网络连接的定向图 ， 显示了所有的网络通信流量所记录到的主机

文章图片
这张将显示DNS申请 ， 可以知道DNS申请是由哪台机 ， 哪个进程发起的等等 。

文章图片
同样 ， 可以对内网横向移动指标进行追踪 ， 将哪些文件宏也一一进行筛选 ， 如果计算机中出现了未知的文件（Newlyobservedhashes） ， 也将可以进行标记 ， 从而判断是否属于病毒的新型变种或者攻击者使用的某种新型工具等等 。

文章图片
列出宏文件的处理时间

文章图片
当然 ， 使用SYSMON必然会有很多噪音以及误报 ， 所以需要大量的人力去进行配置的维护和规则的处理 ， 这个强大的白名单机制可以减轻大量的人工操作 ， 简单 ， 快捷而有效 。

文章图片
ThreatHunter的功能非常强大和实用 ， 而更多的功能和使用方法还需要大家自己去挖掘 ， 如果有条件 ， 也可以将Windows的事件日志通过UniversalForwarder发送给Splunk ， 再结合EventID.net的SPLUNK插件即可实现事件日志审计 ， 参见：https://splunkbase.splunk.com/app/3067/

文章图片
最终 ， 这套简单有效的ThreatHunting组件透过SYSMON和SPLUNK轻易地将ATT&CK矩阵映射成为实际可用的一套EDR系统 ， 抛弃一些其他EDR系统华而不实的功能 ， 专注于威胁追踪 ， 猎杀和事件回溯 ， 可以很有效地帮助企业提升对抗病毒 ， 恶意攻击的能力!*本文作者：langyajiekou ， 转载请注明来自FreeBuf.COM
精彩推荐
【FreeBuf 手工打造基于ATT&CK矩阵的EDR系统】

文章图片

• 中国新闻网|黑河打造寒地稻田公园 农旅结合建设“小康新农村”
• 『教师』30岁，教师，到手工资3500，很难养家糊口，出路在哪？
• FreeBufDEDECMS伪随机漏洞分析
• 凤凰网山东综合烟台：打造国内领先航空航天无人机及3D打印高端装备产业园
• 新疆伊犁州集中优势打造馕产业园带动就业促增收
• [走私]警方突袭走私仓库，发现10架共轴旋翼直升机，居然是纯手工打造
• 新疆哈密：打造“家门口”的健身圈
• 哈尔滨|哈工大计算学部正式揭牌：培养国之栋梁、打造国之重器
• 封面|王永月 （点石师爷）基层门诊如何打造个人品牌
• 东方网|全面对接上海 “后浪”打造长三角东南“发展极”