Vedant354/Soc-Lab-Splunk

GitHub: Vedant354/Soc-Lab-Splunk

一个基于 Splunk 的微型 SOC 实验室项目，通过模拟真实攻击并编写检测规则，完整展示了蓝队分析师从日志摄取到事件报告的工作流程。

Stars: 1 | Forks: 0

# SOC 实验室 — Splunk 检测工程 ![Status](https://img.shields.io/badge/Status-Complete-brightgreen) ![SIEM](https://img.shields.io/badge/SIEM-Splunk-orange) ![Platform](https://img.shields.io/badge/Platform-VMware-blue) ![ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red) 一个功能完备的微型 SOC 环境，旨在模拟真实攻击、摄取日志、编写检测查询并记录调查过程——目标是展示初级 SOC 分析师的技能。 ## 实验室架构 | 机器 | 操作系统 | 角色 | IP | |---|---|---|---| | 攻击机 | Kali Linux | 攻击模拟 | 192.168.18.132 | | 靶机 | Ubuntu 24.04 | 目标机器 | 192.168.18.128 | | 监控机 | Ubuntu + Splunk | 日志收集与检测 | 192.168.18.129 | ## 环境 - 在 **VMware Workstation** 上虚拟化运行（Windows 11 宿主机） - Ubuntu 目标通过 **Universal Forwarder** 自动将日志转发至 Splunk - 日志被索引在 `index=linux` `sourcetype=linux_secure` 下 - 实时日志摄取已确认并正常运行 ## 项目阶段 | 阶段 | 描述 | 状态 | |---|---|---| | 阶段 1 | 实验室搭建与日志摄取 | ✅ 完成 | | 阶段 2 | 攻击模拟（Nmap + SSH 暴力破解） | ✅ 完成 | | 阶段 3 | SPL 检测查询 | ✅ 完成 | | 阶段 4 | Splunk 仪表板 | ✅ 完成 | | 阶段 5 | 事件报告与发布发现 | ✅ 完成 | ## 攻击模拟 ### 阶段 1 — 侦察 (T1046) 使用 Nmap 对目标机器执行网络扫描和服务发现。 ``` nmap -sn 192.168.18.128 # Host discovery nmap -sS 192.168.18.128 # SYN stealth scan nmap -sV 192.168.18.128 # Service version detection nmap -A 192.168.18.128 # Aggressive scan ``` ### 阶段 2 — 凭据访问 (T1110.001) 使用 Hydra 利用 rockyou 字典执行 SSH 暴力破解。 ``` hydra -l vegion-target -P /usr/share/wordlists/rockyou.txt ssh://192.168.18.128 -t 4 -V ``` ### 阶段 3 — 初始访问 (T1078) 暴力破解后成功实现 SSH 登录——已确认未授权访问。 ## 检测查询 (SPL) **SSH 暴力破解检测：** ``` index=linux sourcetype=linux_secure "Failed password" | stats count as failed_attempts by host | where failed_attempts > 10 | sort -failed_attempts ``` **成功登录检测：** ``` index=linux sourcetype=linux_secure "Accepted password" | table _time, host, _raw | sort _time ``` **完整攻击时间线：** ``` index=linux sourcetype=linux_secure ("Failed password" OR "Accepted password") | eval status=if(match(_raw,"Failed"),"FAILED","SUCCESS") | table _time, host, status, _raw | sort _time ``` ## MITRE ATT&CK 映射 | 战术 | 技术 | ID | 工具 | |---|---|---|---| | 侦察 | 网络服务扫描 | T1046 | Nmap | | 凭据访问 | 暴力破解：密码猜测 | T1110.001 | Hydra | | 初始访问 | 有效账户 | T1078 | SSH | ## 仪表板构建了一个包含 5 个面板的 Splunk 仪表板，用于可视化完整的攻击链： - Nmap 侦察活动（折线图） - SSH 暴力破解尝试（柱状图） - 失败登录尝试总数（单值图） - 检测到的成功登录（单值图） - 完整攻击时间线（表格） 📄 [查看仪表板 PDF](dashboard/soc_lab_-_attack_detection-2026-05-03.pdf) ## 事件报告一份完整的事件报告，记录了攻击链、IOC、MITRE 映射、检测方法和修复建议。 📄 [查看事件报告](INCIDENT_REPORT.md) ## 截图 | 描述 | 截图 | |---|---| | Kali 上运行的 Nmap 扫描 | ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/88dedbbf59025924.png) | | Hydra 暴力破解运行中 | ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/d9000c863e025926.png) | | 成功的 SSH 登录 | ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/03850cc19a025928.png) | | Splunk 中检测到的暴力破解 | ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/29dde5fe51025929.png) | | Splunk 中检测到的成功登录 | ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/55dd272e60025931.png) | | SOC 检测仪表板 | ![](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/a8158a11e9025933.png) | ## 使用的工具 - **Splunk Free** — SIEM 与日志分析 - **Kali Linux** — 攻击平台 - **Nmap** — 网络侦察 - **Hydra** — SSH 暴力破解 - **VMware Workstation** — 虚拟化 - **Universal Forwarder** — 日志传输 *作为作品集项目构建，旨在展示 SOC 分析师技能，包括攻击模拟、日志分析、检测工程和事件文档编写。*

标签：CTI, Dashboard, Hydra, Nmap, SOC实验室, Splunk SPL, SSH暴力破解, VMware, 云存储安全, 初级安全分析师, 安全实验室, 安全运营中心, 实验室环境, 库, 应急响应, 插件系统, 攻击模拟, 数据展示, 数据统计, 日志收集, 漏洞复现, 端口扫描, 红队, 网络安全, 网络扫描, 网络映射, 网络靶场, 虚拟驱动器, 蜜罐, 证书利用, 隐私保护, 驱动签名利用