alexojocyber/SIEM-Investigation-Lab

GitHub: alexojocyber/SIEM-Investigation-Lab

一个面向SOC分析师入门的实战实验室,通过三个完整的安全调查场景教授日志取证、暴力破解检测、事件报告撰写等蓝队核心技能。

Stars: 2 | Forks: 0

# SIEM 调查实验室 —— 最终项目总结 *作者:* Alex Ojo *日期:* 2025年12月 *平台:* Kali Linux (VirtualBox) *展示技能:* SOC 分析 • 日志取证 • Bash 自动化 • 攻击模拟 • 事件报告 • Linux 安全 ## 项目概述 本仓库包含 *三个结构化的 SOC 风格网络安全调查*,每一个都旨在模拟真实的蓝队场景。 这些调查展示了你的以下能力: - 分析系统日志 - 检测暴力破解攻击 - 构建自动化脚本 - 调查可疑 Shell 行为 - 提供完整的 SOC 分析和报告 - 专业地记录证据 每个调查包括: ✔ 截图 ✔ 取证发现 ✔ 失陷指标 ✔ 安全建议 ✔ 攻击行为解释 # 调查详解 ## *调查 1 —— 失败登录分析器脚本* 构建了一个自定义 Bash 脚本来扫描: - 失败的系统登录 - 被攻击的用户名 - 尝试访问的攻击者 IP - 前 5 个最频繁的恶意 IP 该脚本展示了你的以下能力: - 创建安全自动化工具 - 解析身份验证日志 - 提取有意义的安全信号 - 理解基于 systemd 的 Linux 上日志文件的工作原理 这反映了 Tier 1 SOC 任务,例如警报分类和日志提取。 ## *调查 2 —— SSH 暴力破解攻击检测* 使用 *Hydra* 针对 Linux SSH 服务模拟了一次真实的暴力破解攻击。 *收集的证据包括:* - 数千次失败的 SSH 尝试 - 轮换的攻击者端口(Hydra 的多线程) - 目标用户名:root - 攻击者 IP:10.0.2.15 - 显示突发活动的时间戳 - 包含“Failed password”条目的完整 journalctl 日志 此调查演示了: - 动手 SIEM 级别的日志分析 - 暴力破解模式的检测 - MITRE ATT&CK 映射 - IoC 的识别 - SSH 加固技术(Fail2Ban、禁用 root 登录、基于密钥的认证) 这是你的 SOC/蓝队角色作品集中最有价值的一部分。 ## *调查 3 —— 文件篡改与脚本行为分析* 此调查分析了: - 未授权的文件创建 - 文件删除和重建 - 文本篡改 - 使用条件逻辑执行可疑脚本 - ${1,,} 小写检查行为的分析 - 攻击者如何在 Shell 脚本中隐藏逻辑 这反映了现实世界中的 Linux 取证调查,分析师在其中检查: - 流氓用户脚本 - 文件篡改 - 恶意自动化 - 隐藏的权限提升逻辑 # 所有调查中展示的技能 ### *Linux 取证* - journalctl 分析 - SSH 身份验证调查 - 文件操作和权限审查 - 进程和服务检查 ### *安全自动化* - 日志分析器创建 - 使用 grep, awk, sort, wc 进行文本解析 - 用于失败登录检测的自动化逻辑 ### *进攻性安全意识* - 暴力破解方法论 - Hydra 密码攻击执行 - 观察日志中的攻击者行为 ### *防御性安全技术* - SSH 加固 - Fail2Ban 部署 - 禁用 root 登录 - 审计未授权的文件活动 ### *事件报告* - 完整的 SOC 风格 DRR(检测、响应、建议) - 时间线创建 - IoC 提取 - 分析师主导的结论 ## 🔗 相关项目 此实验室是完整 SOC 工作流程的一部分: | 项目 | 描述 | |---------|-------------| | [SSH 暴力破解检测实验室](https://github.com/alexojocyber/SSH-BruteForce-Detection-Lab) | 真实 SSH 攻击模拟 + Fail2Ban 防御 | | [Splunk SIEM 实验室](https://github.com/alexojocyber/Splunk-SIEM-Lab) | 使用 Splunk Cloud 的企业检测仪表板 | | [Python 日志解析器](https://github.com/alexojocyber/Python-Log-Parser) | 用于暴力破解检测的自动化 Python 脚本 | ## 👨‍💻 作者 **Alex Ojo** 网络安全学生 | SOC 分析实习生 [![LinkedIn](https://img.shields.io/badge/LinkedIn-Connect-blue)](https://linkedin.com/in/alex-o-ojo-ab9252185) [![GitHub](https://img.shields.io/badge/GitHub-Follow-black)](https://github.com/alexojocyber)
标签:Cloudflare, ELK Stack, Fail2Ban, Hydra, IOCs, MITRE ATT&CK, PoC, SSH安全, SSH暴力破解, 告警验证, 安全实验室, 安全报告, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 攻击模拟, 数字取证, 日志分析脚本, 暴力破解, 系统加固, 红队行动, 网络安全, 网络调试, 自动化, 自动化脚本, 隐私保护, 驱动签名利用