SMB（Server Message Block）通信协议是微软（Microsoft）和英特尔(Intel)在1987年制定的协议，主要是作为Microsoft网络的通讯协议。SMB 是在会话层（session layer）和表示层（presentation layer）以及小部分应用层（application layer）的协议。

SMB协议是基于TCP－NETBIOS下的，一般端口使用为139和445，用于Windows文件共享活动。

查找公司内主机到公司外主机的SMB连接。 SMB通信用于Windows文件共享活动。 攻击者经常使用的一种技术，使用受控制的服务器发出SMB请求来检索凭据哈希。

Splunk查询：检测最近一个小时内网那些主机与外网建立了SMB通信连接
| tstats `summariesonly` count earliest(_time) as earliest latest(_time) as latest values(All_Traffic.action) from datamodel=Network_Traffic where All_Traffic.action !=blocked All_Traffic.dest_category !=internal (All_Traffic.dest_port=139 OR All_Traffic.dest_port=445 OR All_Traffic.app=smb) by All_Traffic.src_ip All_Traffic.dest_ip | `drop_dm_object_name("All_Traffic")` | search ( dest_ip!=10.0.0.0/8 AND dest_ip!=172.16.0.0/12 AND dest_ip!=192.168.0.0/16) | convert ctime(earliest) ctime(latest)

earliest=-70m@m   latest=-10m@m