venkatesh555-Analytics/Threat-Hunting-Threat-Intelligence-Project-

# 威胁狩猎-威胁情报-项目- ## 概述 本项目演示了利用日志数据进行威胁狩猎和安全监控。分析了诸如身份验证失败和异常系统行为等可疑活动，并通过威胁情报平台识别并验证了攻击者 IP。 ## 目标 - 从日志中检测可疑活动 - 识别攻击者 IP 地址 - 分析警报严重程度和模式 - 利用威胁情报验证指标 - 构建安全仪表板 ## 使用工具 - Wazuh（SIEM - 概念基础） - Kibana 风格仪表板 - VirusTotal（IP 声誉） - AbuseIPDB（威胁情报） - Linux 日志数据集 ## 🔍 执行的关键分析 ### 1. 主要攻击者 IP - 识别出具有最多失败登录尝试的 IP - 示例： - 185.220.101.1（高活动度） - 73.117.146.84 ### 2. 警报严重程度分析 - 将警报分类为： - Low（登录成功） - Medium（身份验证失败） - High（文件/系统变更） ### 3. 随时间变化的安全事件 - 观察到失败登录尝试出现峰值 - 识别出攻击时间窗口 ### 4. 主要触发规则 - 身份验证失败（Brute force） - 成功登录 - 文件删除活动 ## 威胁情报验证 ### 🔹 VirusTotal - 检查 IP 声誉和检出情况 ### 🔹 AbuseIPDB - 验证滥用评分和举报活动 ## 📊 仪表板 ### 主仪表板 ### 主要攻击者 IP ### 警报时间线 ### 严重程度分布 ### 触发规则 ## 发现 - 多次失败的登录尝试表明存在暴力破解活动 - IP 185.220.101.1 表现出最高的可疑行为 - 在短时间内观察到攻击峰值 - 威胁情报证实了恶意 IP 活动 ## MITRE ATT&CK 映射 - T1110 – Brute Force - T1078 – Valid Accounts ## 结论 本项目展示了实用的 SOC 分析师技能，包括威胁检测、日志分析、仪表板创建以及威胁情报验证。 ## 👨‍💻 作者 SOC Analyst | SIEM | Threat Hunting | Wazuh | Splunk

标签：AbuseIPDB, Ask搜索, BurpSuite集成, IP信誉, Linux日志, PoC, VirusTotal, Wazuh, 告警分析, 威胁情报, 安全仪表盘, 开发者工具, 暴力破解, 红队行动, 越狱测试