Blanco408/splunk-homelab-siem
GitHub: Blanco408/splunk-homelab-siem
一个基于 Splunk 和 AI 的家庭实验室 SIEM,实现自动化威胁检测与事件报告。
Stars: 0 | Forks: 0
# Splunk 家庭实验室 SIEM 与 AI 辅助事件响应
## 项目概述
一个使用 Splunk、Python 和 AI 构建的家庭实验室安全信息和事件管理(SIEM)系统。该系统模拟真实的 SOC 工作流程,能够实时检测网络攻击并自动生成事件报告。
## 实验室架构
- **攻击者:** Kali Linux(192.168.56.102)
- **目标:** Ubuntu Server 22.04(192.168.56.101)
- **SIEM:** Splunk Enterprise(Windows 主机)
- **AI 分类:** Python + Anthropic Claude API
## 工具与技术
- Splunk Enterprise(SIEM、日志摄取、仪表板和告警)
- Splunk Universal Forwarder(从 Ubuntu Server 转发日志)
- Python 3.11(Splunk API 集成、AI 管道)
- Anthropic Claude API(自动事件报告生成)
- Kali Linux(Nmap、Metasploit Framework)
- Ubuntu Server 22.04(目标机器)
- UFW(防火墙日志记录,用于端口扫描检测)
- VirtualBox(实验室虚拟化)
## 检测的攻击场景
| 攻击 | 使用的工具 | 日志来源 | 检测方法 |
|------|-----------|----------|----------|
| SSH 暴力破解 | Metasploit ssh_login | /var/log/auth.log | 单个 IP 每分钟失败登录 >5 次 |
| 端口扫描 | Nmap -sS | /var/log/ufw.log | 每分钟被阻止的连接 >15 次 |
## SPL 检测规则
### SSH 暴力破解检测
```
index=main sourcetype=linux_secure "Failed password"
| rex "from (?P\d+\.\d+\.\d+\.\d+)"
| bucket _time span=1m
| stats count as failed_attempts by src_ip, _time
| where failed_attempts > 5
| eval threat="SSH Brute Force Detected"
```
### 端口扫描检测
```
index=main sourcetype=ufw "UFW BLOCK"
| rex "SRC=(?P\d+\.\d+\.\d+\.\d+)"
| bucket _time span=1m
| stats count as blocked_connections by src_ip, _time
| where blocked_connections > 15
| eval threat="Port Scan Detected"
```
## AI 事件响应管道
1. Python 查询 Splunk REST API(端口 8089)获取最近的告警
2. 解析并结构化告警数据
3. 将数据发送到 Claude AI API,并附带 SOC 分析员提示词
4. AI 生成纯英文的事件报告,包含严重性、IOC(攻击指标)和响应动作
5. 将报告保存为带时间戳的 Markdown 文件
## 示例事件报告
请查看 `incident_report_*.md` 文件以获取 AI 生成报告的示例。
## 如何运行
1. 克隆本仓库
2. 安装依赖项:`pip install requests anthropic`
3. 在 `ai_triage.py` 中添加你的 Splunk 凭据和 Anthropic API 密钥
4. 运行:`python ai_triage.py`
## 展示的技能
- SIEM 部署与配置
- 日志摄取与转发
- SPL 查询编写与威胁检测
- 自动告警与仪表板
- Python 脚本编写与 REST API 集成
- AI/ML 在网络安全工作流中的集成
- 渗透测试(Nmap、Metasploit)
- 事件响应文档编写
- Linux 系统管理与网络安全
## 与 Security+ 领域的对应关系
- 领域 1:威胁、攻击和漏洞
- 领域 2:技术和工具
- 领域 3:架构和设计
- 领域 4:身份和访问管理
- 领域 5:风险管理
标签:AI安全, AMSI绕过, API哈希动态解析, Chat Copilot, Claude API, Python, SOC工作流, Splunk Enterprise, Splunk Universal Forwarder, SSH暴力破解, Ubuntu Server, UFW防火墙, 威胁检测, 家庭实验室, 数据统计, 无后门, 日志采集, 端口扫描, 自动化报告, 虚拟化, 逆向工具, 速率限制