LakeeFranks/Splunk-SIEM-Labs

# Splunk SIEM 实验室 本仓库记录了我使用 **Splunk 作为 SIEM** 的实践工作，重点在于日志采集、搜索以及对 Windows 认证活动的基本安全分析。 本实验室的目标是建立对安全相关事件如何在日志中呈现，以及如何在 Splunk 中对其进行探索和分析的实际熟悉度，模拟初级 SOC 工作流程。 ## 🧪 本实验室涵盖内容 - 搭建 Splunk 实验环境 - 采集 **Windows 安全事件日志 (Windows Security Event Logs)** - 分析认证活动（成功和失败的登录） - 识别基线行为与潜在可疑模式 ## 📁 仓库结构 - **Splunk Setup/** 环境搭建笔记、配置步骤及初始 Splunk 配置 - **Windows Security Logs/** Windows 认证事件分析，包括成功和失败的登录尝试，并附带记录的观察结果和解读 ## 🔧 使用的工具 - Splunk Enterprise - Windows Event Logs (Security) - Windows 10 Pro (VirtualBox VM) ## 📘 我学到了什么 - Windows 认证事件（Event ID 4624 和 4625）是如何产生并被记录的 - 如何在 Splunk 中采集并验证 Windows Security logs - 失败的登录活动如何表明用户操作错误或潜在的暴力破解行为 - SIEM 工具如何支持对认证相关事件的可见性调查

标签：Event ID 4624, Event ID 4625, SIEM监控, SOC分析, Splunk Enterprise, Windows安全日志, 企业安全, 免杀技术, 安全基线, 安全运营, 实验环境, 扫描框架, 教学环境, 日志摄取, 暴力破解检测, 生成式AI安全, 网络安全, 网络资产管理, 虚拟机, 认证分析, 隐私保护