ethanAmesser/Splunk-SIEM-Security-Monitoring-Threat-Detection-Lab

# Splunk SIEM 安全监控与威胁检测实验 ## 概述 本项目演示了如何使用 BOTS v3 数据集，通过 Splunk SIEM 进行日志分析、安全监控和威胁检测。该实验模拟了真实场景下的活动，为您提供识别可疑行为和构建检测机制的实践经验。 ## 工具与技术 - Splunk Enterprise - SPL (Search Processing Language) - BOTS v3 数据集 - Windows Event Logs ## 目标 - 分析身份验证日志以发现可疑行为 - 检测暴力破解登录尝试 - 识别异常的文件修改活动 - 创建可视化图表以监控日志活动 - 配置告警以实现自动化威胁检测 ## 项目活动 - 将日志数据导入并索引至 Splunk - 使用 SPL 查询和过滤日志 - 分析身份验证事件（EventCode 4624 和 4625） - 构建可视化图表以识别趋势和异常 - 针对暴力破解检测和可疑活动创建告警 ## 关键发现 - 发现了重复的失败登录尝试，表明可能存在暴力破解攻击 - 检测到跨主机身份验证活动的激增 - 观察到异常的文件修改行为 [查看完整报告 (PDF)](./Splunk%20SIEM%20Security%20Monitoring%20%26%20Threat%20Detection%20Lab.pdf)

标签：AMSI绕过, 免杀技术, 威胁检测, 安全运营, 扫描框架, 暴力破解检测, 红队行动