venkatesh555-Analytics/splunk-web-attack-detection-

# splunk-web-attack-detection- 使用 Splunk 进行威胁搜寻的项目（HTTP 日志分析） # 使用 Splunk 进行 Web 攻击检测 ## 目标 通过使用 Splunk SIEM 分析 Apache HTTP 日志，来检测可疑的 Web 活动并识别潜在攻击。 ## 工具与技术 * Splunk SIEM * SPL (Search Processing Language) * Apache HTTP Logs ## 数据集 * Apache HTTP 日志数据集（约 10,000 条事件） * 分析字段： * clientip * uri_path * status * useragent ## 项目工作流 ### 1. 数据摄取 * 将 HTTP 日志文件上传至 Splunk * 对数据进行索引以便搜索和分析 ### 2. 数据探索 * 使用以下命令验证日志： index=* * 识别用于分析的关键字段 ### 3. 检测策略 * 识别主要的客户端 IP * 筛选 HTTP 404 错误（可疑行为） * 分析访问的唯一 URL 数量 * 调查异常访问模式 ## 关键 SPL 查询 ### 识别主要 IP ``` index=* | stats count by clientip | sort -count | head 10 ``` ### 检测可疑的 404 错误 ``` index=* status=404 | stats count by clientip | sort -count ``` ### 识别扫描行为 ``` index=* status=404 | stats dc(uri_path) as unique_urls count by clientip | sort -unique_urls ``` ### 调查可疑 IP 活动 ``` index=* clientip=144.76.95.39 | table _time uri_path status ``` ## 发现 * 可疑 IP：**144.76.95.39** * 产生了多个 HTTP 404 错误 * 访问了多个端点： * /articles/ * /scripts/ * /blog/ * 访问了 **10+ 个唯一 URL** * 行为表明是 **目录扫描 / 侦察攻击** ## 攻击时间线 * 来自该 IP 的初始访问 * 对多个端点的快速请求 * 持续的 404 响应 * 模式表明存在自动化扫描活动 ## 威胁指标 (IOC) * IP 地址：144.76.95.39 * 多次失败的请求（404 错误） * 访问不存在的端点 ## 仪表板可视化 * 主要可疑 IP（柱状图） * 状态码分布（饼图） * 随时间变化的流量趋势（折线图） * 攻击详情（表格） ## 结论 本项目通过使用 Splunk 分析 HTTP 日志，成功检测到了可疑的 Web 活动。识别出的 IP 表现出与目录扫描一致的行为，表明针对 Web 资源的侦察活动。 ## 建议 * 封禁可疑 IP 地址 * 实施速率限制 * 监控重复的 404 错误 * 部署 Web 应用防火墙 (WAF)

标签：404错误检测, Apache日志, CISA项目, Dashboard, HTTP日志, IOC, osquery, Search Processing Language, SPL, Web安全, Web攻击检测, 侦察攻击, 大数据, 失陷指标, 密码管理, 目录扫描, 网络安全, 蓝队分析, 运维安全, 隐私保护