AmalUBasnayake/Live-Network-Security-SIEM-Lab

# 🛡️ 实时网络流量分析与 SIEM 仪表板 ## 📌 项目概述 本项目展示了一个完全自动化的**安全信息与事件管理 (SIEM)** pipeline。与静态的 PCAP 分析不同，本实验环境使用 **TShark** 捕获**实时网络流量**，通过批处理脚本实现数据提取自动化，并将其流式传输到 **Splunk Enterprise** 中，以进行实时监控和主动的威胁检测。 ## 🛠️ 工具与技术 * **TShark (Wireshark CLI)：** 用于低资源消耗的连续数据包嗅探。 * **Windows Batch Scripting：** 创建了 `start_automation.bat` 以自动化捕获过程。 * **Splunk Enterprise：** 用于实时数据摄取、SPL 查询以及 SOC 仪表板展示。 * **Wireshark (GUI)：** 用于初始的协议基线建立和 I/O 图表分析。 ## 🚀 逐步实施步骤 ### 1. 网络基线建立 在执行自动化之前，我使用 Wireshark 的 I/O 图表分析了网络的协议层级和流量负载，以建立一个基线。  ### 2. 自动化实时捕获 我开发了一个自定义的 Batch 脚本来触发 **TShark**。它提取源/目标 IP、协议和长度等字段，并将它们直接保存到一个实时更新的 CSV 文件中。  ### 3. Splunk 摄取与字段提取 实时的 CSV 文件被索引到 Splunk 中。使用 **Field Extractor**，我将原始数据标准化为可搜索的字段，从而确保 SOC 仪表板的高数据质量。  ## 🖼️ 最终 SOC 仪表板 最终的仪表板提供了对网络流量、协议分布和主要通信节点的实时概览。  ## 💡 安全洞察与告警 ### 🚨 **实时威胁检测** 我实施了一个名为“检测到可能的 DoS 攻击”的**自定义安全告警**，用于识别流量激增。如果数据包数量超过设定的安全阈值，系统将触发告警。  ## ⚙️ **如何运行该实验环境** 按照以下步骤来复现此环境： ### **步骤 1：设置数据捕获** 1. 下载 `start_automation.bat` 脚本。 2. 确保您的系统上已安装 **TShark** (Wireshark)。 3. 以**管理员身份**运行该脚本以开始实时捕获。  ### **步骤 2：Splunk 配置** 1. 打开 Splunk 并导航至 **Settings > Data Inputs > Files & Directories**。 2. 添加由该脚本创建的 `live_traffic_final.csv` 文件。 3. 将 **Source Type** 设置为 `csv` 并完成数据摄取。 ### **步骤 3：仪表板与告警** 1. 将 `scripts/` 文件夹中提供的 SPL 查询复制到 Splunk Search 中。 2. 将可视化图表保存到一个新的 **Dashboard** 中。 3. 要启用告警，请将查询保存为 **Alert**，并将其设置为 **Real-time**。 ## 📂 仓库结构 * **screenshots/** - 逐步的实验环境证明和仪表板截图。 * **scripts/** - 包含 `start_automation.bat` 和 SPL 查询。 * **README.md** - 完整的项目文档。 **总结：** 本项目突出了我构建自动化安全 pipeline 以及使用行业标准 SIEM 工具进行主动威胁狩猎的能力。 **由 AMAL 创建 | 热衷于网络安全与安全运营。**

标签：TShark, 攻击面映射, 网络安全, 自定义脚本, 隐私保护