nikhilkrp/splunk-siem-log-analysis-lab

# Splunk SIEM 日志分析实验 本项目演示了一个使用 Splunk 的基于 SIEM 的日志监控和事件响应系统。 ## 功能特性 - 来自 Linux 系统日志的日志采集 - SSH 暴力破解攻击检测 - 基于 SPL 的威胁检测 - 安全监控仪表板 - GeoIP 攻击可视化 - 使用防火墙规则进行事件响应 ## 系统架构 Linux Logs → Splunk Monitor → Splunk Index → SPL Queries → Dashboard → Alert → Remediation ## 攻击模拟 使用 Hydra 模拟了 SSH 暴力破解攻击。 hydra -l kali -P pass.txt ssh://TARGET_IP ## 检测查询 index=main "authentication failure" | rex "rhost=(?\d+.\d+.\d+.\d+)" | stats count by src_ip | sort -count ## GeoIP 攻击可视化 index=main "authentication failure" | rex "rhost=(?\d+.\d+.\d+.\d+)" | iplocation src_ip | stats count by Country lat lon ## 修复脚本 系统使用 iptables 封禁恶意 IP。 iptables -A INPUT -s -j DROP ## 仪表板面板 - 失败的身份验证尝试 - 随时间变化的身份验证失败 - 最活跃用户 - 全球攻击来源 ## 使用的技术 - Splunk Enterprise - Linux - Hydra - Bash scripting

标签：AMSI绕过, GeoIP定位, HTTP/HTTPS抓包, Hydra模拟, Iptables, PE 加载器, SPL搜索, SSH暴力破解, 仪表盘, 威胁检测, 安全实验室, 安全运营, 库, 应急响应, 应用安全, 态势感知, 扫描框架, 红队行动, 自动化防御, 速率限制, 防火墙规则