hkb18/splunk-soc-detection-lab

# Splunk SOC 检测实验室 本项目演示了如何使用 Splunk、Sysmon 和模拟攻击者环境构建小型安全运营中心 (SOC) 检测实验室。 该实验室从 Windows 端点收集遥测数据，模拟攻击者活动，并演示如何使用 Splunk 查询识别可疑行为。 ------------------------------------------------------------ ## 实验室概述 本实验室使用的架构： - Windows 10 FLARE VM（目标系统） - Kali Linux VM（攻击者） - Splunk Enterprise 10.2.1（SIEM 平台） - Sysmon（端点遥测收集） - Oracle VirtualBox（虚拟化平台） 目标是模拟攻击者侦察活动并使用 Splunk 进行检测。 ------------------------------------------------------------ ## Splunk 平台 Splunk Enterprise 安装在 Windows 目标 VM 上，用于收集和分析安全遥测数据。 ### Splunk 登录  ### Splunk 仪表板  ### Splunk 版本  ------------------------------------------------------------ ## Sysmon 遥测 部署 Sysmon 以增强 Windows 日志记录能力，并提供详细的端点遥测数据，包括进程活动、网络连接和文件创建事件。 ### Splunk 中的 Sysmon 日志  ### Sysmon 事件分布  这些日志确认端点遥测数据已成功摄取到 Splunk 中。 ------------------------------------------------------------ ## 攻击模拟 从 Kali Linux 攻击者 VM 向 Windows 目标执行了侦察扫描。 使用的命令： nmap -sT -p- 192.168.56.101 此扫描尝试连接到目标系统上的所有 TCP 端口。 ### Nmap 扫描证据  ------------------------------------------------------------ ## 检测工程 为了识别扫描行为，在 Splunk 中分析了 Windows 安全事件 ID 5156。 创建了检测查询，用于识别在短时间窗口内尝试连接多个不同目标端口的主机。 ### 检测查询结果  ### 基于时间的关联  ### 最终检测结果  检测成功识别出主机： 192.168.56.103 正在对 Windows 目标系统执行端口扫描活动。 ------------------------------------------------------------ ## 仓库结构 splunk-soc-detection-lab │ ├─ README.md ├─ documentation │ └─ lab-setup.md ├─ attack-simulation │ └─ nmap-scan.md ├─ queries │ └─ port-scan-detection.spl └─ screenshots ------------------------------------------------------------ ## MITRE ATT&CK 映射 战术 (Tactic)：侦察 (Reconnaissance) 技术 (Technique)：T1046 – 网络服务发现 (Network Service Discovery) ------------------------------------------------------------ ## 成果 本实验室演示了如何收集、分析端点遥测数据，并利用 Splunk SIEM 检测侦察行为。 该项目强调了以下过程： - 部署端点遥测 - 在 SIEM 平台中收集日志 - 模拟攻击者活动 - 构建检测逻辑以识别恶意行为

标签：AMSI绕过, BurpSuite集成, FLARE VM, HTTP/HTTPS抓包, Sysmon, VirtualBox, Windows安全日志, 侦察扫描, 命令控制, 威胁检测, 安全运营中心, 态势感知, 恶意行为分析, 插件系统, 攻击模拟, 数据采集, 端点遥测, 网络安全实验室, 网络映射, 驱动签名利用