ahmadtaha-CYS/Threat-Intelligence-Integration-in-Splunk-SIEM

# Splunk SIEM 中的威胁情报集成 这是一个大学网络安全项目，演示了如何将外部威胁情报集成到 Splunk SIEM 中，以提高对恶意活动的检测能力。该项目专注于收集失陷指标，对其进行组织和富化，生成逼真的模拟日志，将 IOC 数据作为查找表导入 Splunk，并创建能够自动检测可疑匹配的关联规则。 ## 项目构想 安全团队每天都要处理海量的日志，人工审查所有日志既困难又耗时。像 Splunk 这样的 SIEM 平台可以将安全数据集中收集，使其可搜索和可监控，从而提供帮助。 该项目通过将威胁情报集成到 Splunk 中，进一步扩展了这一构想。系统不仅存储日志，还会将传入的事件与已知的恶意指标（如 IP 地址、域名、URL 和文件哈希）进行比对。一旦发现匹配，Splunk 就会生成警报以供进一步调查。 该项目构建了一个适合初学者的实用工作流，展示了如何在小型 SOC 风格的实验室环境中收集、处理、测试和使用威胁情报。 ## 主要目标 该项目旨在实现以下目标： - 从 AlienVault OTX 收集威胁情报指标 - 对 IOC 数据进行组织和分类 - 生成用于测试的模拟网络和安全日志 - 将 IOC 数据集作为查找表导入 Splunk - 构建关联搜索，将日志与已知指标进行匹配 - 当日志中出现恶意指标时触发警报 - 对比常规 IOC 查找与增强型 IOC 数据集的效果 ## 使用的技术与工具 - Splunk Enterprise - AlienVault OTX - Python - Pandas - NumPy - Requests ## 项目工作流 项目的完整工作流程如下： 1. 使用 Python 从 AlienVault OTX 收集 IOC 2. 将收集到的 IOC 数据保存为 CSV 文件 3. 按类型清理和组织指标数据 4. 生成包含良性和恶意事件的合成安全日志 5. 将 IOC 文件作为查找表导入 Splunk 6. 将生成的日志摄入 Splunk 7. 针对不同的 IOC 类型创建关联搜索 8. 当日志匹配到已知指标时触发警报 9. 比较常规 IOC 数据集与增强型 IOC 数据集的检测性能 ## 仓库结构 ``` Threat-Intelligence-Integration-in-Splunk-SIEM/ ├── README.md ├── SOC-report.pdf ├── SOC-presentation.pdf ├── threat-intel.py ├── generated-logs.py ├── ioc_finished_with_severity.csv ├── ioc_after_Threat_Intelligence.csv └── network_logs.csv ```

标签：HTTP/HTTPS抓包, IOC, Python, 企业安全, 关联分析, 大学项目, 威胁情报, 安全告警, 安全运营中心, 开发者工具, 态势感知, 数据集成, 无后门, 网络安全, 网络映射, 网络资产管理, 逆向工具, 隐私保护