finalprojectt25-maker/SIEM-Detection-Rules-Splunk-QRadar

# 🛡️ 多SIEM检测与自动化框架（Splunk和QRadar） ## 📌 项目概述 本项目展示了现代**"Detection as Code"（DaC）**方法，将**Splunk Enterprise**和**IBM QRadar SIEM**平台整合到统一的生态系统中。项目的主要目标是通过集中管理和自动化优化网络威胁检测流程。 ## 🏗️ 架构与团队协作 本项目是涵盖SOC（安全运营中心）不同领域的协作成果： * **团队伙伴（Splunk专家）：** - 创建15个复杂分析规则。 - 优化**SPL**（Splunk Processing Language）查询。 - 构建**MTTD**（检测时间）和**MTTR**（响应时间）仪表板。 * **我（QRadar和自动化工程师）：** - 构建10个专业关联规则（Correlation Rules）。 - 通过**REST API**自动部署规则（GitHub同步）。 - 配置Windows Server日志策略（**GPO**）。 ## 🛡️ 检测策略（MITRE ATT&CK映射） 我们的检测策略涵盖网络攻击链的所有阶段。已实施的25+规则分为以下类别： | 平台 | 类别 | 规则数量 | 主要技术（Techniques） | | :--- | :--- | :--- | :--- | | **Splunk** | 分析与狩猎 | 15 | 异常网络流量、用户行为（UBA） | | **QRadar** | 关联与持久化 | 10 | Golden Ticket、LSASS转储、LOLBins（Certutil） | ### 📂 精选专业规则（QRadar） 1. **规则1：暴力破解成功**（T1110） 2. **规则2：Golden Ticket检测**（T1558.001） 3. **规则4：Certutil Web下载**（T1105） 4. **规则5：LSASS内存转储**（T1003.001） 5. **规则9：清除事件日志**（T1070.001） ## ⚙️ 自动化与集成（API部署） 安全规则被视为"代码"（Detection as Code）。系统不进行手动配置，而是按以下方式工作： * **自动化：** Python脚本通过**Authorized Service Token**将GitHub上的规则通过**REST API**直接上传到QRadar。 * **真实来源：** GitHub作为所有检测逻辑的中心存储库。 ## 🛡️ 日志策略与优化（日志策略） 为获得高保真警报并保持SIEM性能： * **高级审计策略：** 在域控制器上应用了特定的**GPO**（组策略）。 * **过滤：** 只有关键日志（进程创建、账户管理、对象访问）被定向到SIEM。客户端设备日志在源端进行过滤。 ## 📊 性能指标（KPI） 系统实时测量以下SOC指标： * **MTTD（平均检测时间）：** 从事件发生到警报产生的平均时间。 * **MTTR（平均响应时间）：** 从警报产生到事件关闭的平均时间。 ### 🚀 未来改进 - **SOAR**（安全编排、自动化和响应）集成。 - 自动接入**Threat Intelligence**情报源。

标签：AMSI绕过, Cloudflare, Detection as Code, GitHub运维, MITRE ATT&CK, PE 加载器, QRadar, REST API集成, SIEM集成, SOC安全运营, Splunk SPL, 免杀技术, 关联规则, 凭据滥用检测, 威胁检测, 安全规则管理, 安全运营中心, 异常检测, 持久化检测, 无线安全, 暴力破解检测, 横向移动检测, 用户行为分析, 红队行动, 结构化查询, 网络信息收集, 网络安全, 网络映射, 自动化安全, 逆向工具, 隐私保护