Aadil-Faheem/Splunk-SIEM-Homelab

# SIEM Splunk 家用实验室 一个拥有完整文档的网络安全家用实验室，使用 Splunk 作为 SIEM 来模拟真实的攻击与检测场景。旨在展示在日志收集、威胁检测和事件分析方面的技能。 **你可以使用本项目来搭建你自己的实验室——它以教程的形式构建** ## 项目目标 - 部署并配置 Splunk Enterprise 作为功能性的 SIEM - 从 Kali Linux 攻击机模拟常见攻击（侦察、暴力破解、漏洞利用） - 收集并分析 Windows 事件日志以检测恶意活动 - 构建 Splunk 仪表板和检测查询（SPL）以揭示威胁 - 将整个过程记录为一个可复现的安全实验室 ## 实验室环境 | 机器 | 操作系统 | 角色 | IP 地址 | | ------- | ---------- | ---------------------- | ------------- | | 宿主机 | Linux Mint | 虚拟机监控程序 | 192.168.0.109 | | VM1 | Kali Linux | 攻击者 | 192.168.0.119 | | VM2 | Windows 10 | 受害者 + Splunk 服务器 | 192.168.0.123 | **虚拟化：** VirtualBox - 两台虚拟机均使用 **桥接网卡**，因此它们与宿主机共享同一子网。 ## 仓库结构 ``` splunk-siem-homelab/ │ ├── README.md # You are here │ ├── network-setup/ │ ├── checklist.md # Phase 1 checklist │ ├── static-ip-config.md # Static IP configuration for VMs │ ├── firewall-rules.md # Windows firewall rules for Splunk │ └── network-topology.md # Network diagram │ ├── splunk-setup/ │ ├── checklist.md # Phase 2 checklist │ ├── splunk-install.md # Splunk install on Windows 10 │ ├── universal-forwarder.md # Universal Forwarder setup │ ├── inputs-conf.md # inputs.conf configuration │ └── outputs-conf.md # outputs.conf forwarder-to-indexer │ ├── attack-simulation/ │ ├── checklist.md # Phase 3 checklist │ ├── nmap-scan.md # Reconnaissance with Nmap │ ├── brute-force-hydra.md # Brute force with Hydra │ └── metasploit-exploit.md # Exploitation with Metasploit │ ├── log-analysis/ │ ├── event-ids-reference.md # Windows Event ID cheat sheet │ ├── splunk-queries.md # SPL detection queries │ └── dashboards/ │ └── failed-logins.xml # Exported Splunk dashboard │ ├── screenshots/ │ └── (screenshots) │ └── report/ └── findings-report.md # Attack findings ``` ## 项目阶段 ### [阶段 1 - 网络设置](./network-setup/checklist.md) 配置虚拟网络，分配静态 IP，验证连通性，并记录拓扑结构。 ### [阶段 2 - Splunk 设置](./splunk-setup/checklist.md) 在 Windows 10 上安装 Splunk Enterprise，配置 Universal Forwarder，并验证日志收集。 ### [阶段 3 - 攻击模拟](./attack-simulation/checklist.md) 从 Kali Linux 发起攻击，在 Splunk 中检测它们，并构建仪表板。 ## 工具与技术 - **Splunk Enterprise** - SIEM 平台 - **Splunk Universal Forwarder** - 日志转发代理 - **Kali Linux** - 攻击者操作系统（Nmap, Hydra, Metasploit） - **Windows 10** - 受害者机器（Windows 事件日志记录） - **VirtualBox** - 虚拟机监控程序 - **SPL (Search Processing Language)** - Splunk 查询语言 ## 展示的技能 - SIEM 部署与配置 - 日志收集管道（Forwarder => Indexer） - Windows 事件日志分析 - 攻击模拟与检测 - 使用 SPL 查询进行威胁狩猎 - 在 Splunk 中创建仪表板 *本实验室仅供教育目的。所有攻击均在隔离的虚拟环境中执行。*

标签：AMSI绕过, meg, PoC, Splunk SPL, Sysmon, VirtualBox, Windows 10, 事件分析, 仪表盘, 信息安全, 威胁检测, 安全运营中心, 家庭实验室, 插件系统, 攻击模拟, 教程, 数据展示, 日志收集, 暴力破解, 端点监控, 红队, 网络安全, 网络安全审计, 网络映射, 虚拟化环境, 隐私保护, 靶场环境, 驱动签名利用