ryanrios-cyber/brute-force-detection-splunk

🚀 使用 Splunk SIEM 进行暴力破解攻击检测 📌 概述 该项目在受控实验室环境中模拟暴力破解攻击，并展示安全分析师如何使用 Splunk 检测可疑的身份验证活动。 🛠️ 使用的工具 Splunk Enterprise（SIEM） Windows Server 2016 Windows 事件查看器 SPL（搜索处理语言） ⚙️ 实验室搭建 目标系统使用 Windows Server 手动生成失败的登录尝试 将安全日志导出并导入 Splunk 🔍 检测过程 1. 识别失败登录事件 index=* EventCode=4625 2. 按账户聚合 index=* EventCode=4625 | stats count by Account_Name 3. 检测可疑活动 index=* EventCode=4625 | stats count by Account_Name | where count > 5 📊 关键发现 检测到多个用户账户存在多次失败的登录尝试 高频率尝试表明可能存在暴力破解攻击 可视化突出显示异常行为模式 📸 截图 🔹 网络配置 🔹 Windows 安全日志（EventCode 4625） 🔹 导出日志 🔹 上传到 Splunk 🔹 日志导入确认 🔹 查询结果 🔹 检测阈值 🔹 可视化 🧠 挑战与故障排除 解决 Splunk 磁盘空间限制 重启 Splunk 服务以恢复功能 验证错误后的数据导入是否成功 🎯 展示的技能 SIEM（Splunk） 日志分析 威胁检测 事件关联 故障排除（EventCode 4625）

标签：AMSI绕过, Brute Force Attack, CCTV/网络接口发现, EventCode 4625, Mutation, Splunk SIEM, Windows Event Logs, Windows Server 2016, 事件关联, 信息收集自动化, 可视化, 威胁检测, 安全信息和事件管理, 安全实验室, 安全运营, 开源安全, 异常行为检测, 扫描框架, 暴力破解攻击, 登录失败, 红队行动, 阈值告警