khancam15/soc-automation-splunk-bruteforce-lab

# soc-automation-splunk-bruteforce-实验 模拟 SMB 暴力破解攻击 → Splunk 检测工程 → 通过 Splunk REST API + Python 自动生成案例记录。 ## 🛡️ SOC 自动化与检测工程实验室 ### SMB 暴力破解模拟 → Splunk 检测 → 自动化案例分诊 ## 🔍 概述 本实验室在受控的虚拟环境中模拟真实的 SMB 暴力破解攻击，使用 Splunk 进行检测，并利用 Splunk REST API 和 Python 自动生成案例记录。目标是展示端到端的 SOC 分析师工作流：从威胁模拟到检测工程，再到警报分诊文档记录。 ## 🧰 工具与技术 | 工具 | 用途 | |---|---| | Kali Linux | 攻击机 — SMB 暴力破解模拟 | | Windows 11 VM | 靶机 | | Splunk Enterprise | 日志采集、检测与告警 | | Splunk Universal Forwarder | Windows 事件日志转发 | | Python 3 | 通过 REST API 自动生成案例记录 | | VirtualBox | 虚拟化（Host-only + NAT 网络模式） | | Hydra | SMB 暴力破解工具 | ## 🏗️ 实验室架构 ``` [Kali Linux VM] ---(Host-only Network)---> [Windows 11 VM] | [Splunk Universal Forwarder] | [Splunk Enterprise (indexer)] | [Python REST API Client] | [Automated Case Notes] ``` ## 🎯 实验室目标 - 从 Kali Linux 模拟针对 Windows 11 主机的 SMB 暴力破解攻击 - 配置 Splunk Universal Forwarder 发送 Windows 安全事件日志（Event ID 4625） - 构建 Splunk 检测查询以识别暴力破解行为 - 使用 Python 和 Splunk REST API 以编程方式提取告警数据 - 自动生成用于 SOC 分诊的结构化案例记录 ## 📁 仓库结构 ``` soc-automation-splunk-bruteforce-lab/ ├── queries/ # SPL detection queries used in Splunk ├── screenshots/ # Lab evidence and validation screenshots ├── .gitignore ├── README.md └── WALKTHROUGH.md # Step-by-step lab walkthrough ``` ## 📸 截图 请参阅 `/screenshots` 目录，查看每个实验阶段的证据，包括攻击执行、Splunk 检测和自动化输出。 ## 📄 操作指南 查看 [WALKTHROUGH.md](./WALKTHROUGH.md) 获取完整的分步实验指南。 ## 👤 作者 ## 作者 Khaneil Campbell | khancam15 网络安全 | SOC 分析师 | 蓝队

标签：Hydra, OPA, PoC, Python, SMB协议, SMB暴力破解, SOAR, SOC自动化, Splunk Enterprise, Splunk REST API, Splunk Universal Forwarder, VirtualBox, Windows安全日志, 事件日志分析, 安全事件响应, 安全分析与运营, 安全剧本, 安全运营中心, 无后门, 日志摄取, 暴力破解, 案例生成, 网络安全, 网络映射, 自动化告警分类, 蓝军, 虚拟化安全实验, 逆向工具, 隐私保护, 靶场