sreeganesh1026-glitch/splunk-siem-homelab

# splunk-siem-homelab Splunk SIEM 家庭实验室 — 威胁检测、SPL 查询、SOC 仪表盘与事件响应 # 🔐 Splunk SIEM 家庭实验室 — 威胁检测与事件响应      ## 📌 项目概述 在 Ubuntu Server 24.04 LTS 上使用 Splunk Enterprise 搭建了一个功能完备的企业级 SOC 家庭实验室。 导入 35,000+ 条真实的 Windows 安全事件日志， 编写了映射到 MITRE ATT&CK 的 SPL 检测查询，识别出具有提权行为的真实可疑 账户，并构建了一个包含 5 个面板的 SOC 仪表盘。 ## 🏗️ 实验室架构 ## Windows 11 主机 (ASUS TUF Gaming F15) │ ├── Oracle VirtualBox 7.2.8 │ └── Ubuntu Server 24.04.4 LTS 虚拟机 │ └── Splunk Enterprise 10.2.2 │ └── 监听端口 9997 │ └── Splunk Universal Forwarder └── 转发 Windows 安全事件 └── Index: wineventlog ## 🛠️ 工具与技术 | 类别 | 工具 | |---|---| | SIEM 平台 | Splunk Enterprise 10.2.2 | | 服务器操作系统 | Ubuntu Server 24.04.4 LTS | | 虚拟机管理程序 | Oracle VirtualBox 7.2.8 | | 日志转发器 | Splunk Universal Forwarder | | 主机操作系统 | Windows 11 Home (Build 26200) | | 框架 | MITRE ATT&CK | | 语言 | SPL (Splunk 处理语言) | ## 📊 SOC 仪表盘  *包含 5 个面板的 SOC 安全概述仪表盘，监控 9,598 个安全事件* ## 🔍 关键发现 | 发现 | 严重程度 | MITRE 技术 | |---|---|---| | niroco 服务 — SeImpersonatePrivilege | 🔴 高 | T1078, T1134 | | 具有管理员权限的 1kClassAds 广告软件 | 🟠 中 | T1078 | | 登录失败尝试 (PROSYSTEM$) | 🟡 低 | T1110 | | 大量凭据管理器访问 | 🔵 信息 | T1555 | ## 🎯 SPL 检测查询 ### 暴力破解检测 (T1110) ``` index=wineventlog EventCode=4625 | stats count by Account_Name | sort -count ``` ### 权限提升 (T1078, T1134) ``` index=wineventlog EventCode=4672 | stats count by Account_Name | sort -count ``` ### 创建新账户 (T1136) ``` index=wineventlog EventCode=4720 | table _time, Account_Name, host | sort -_time ``` ### 可疑进程执行 (T1059) ``` index=wineventlog EventCode=4688 | table _time, Account_Name, New_Process_Name | sort -_time ``` ### 安全事件时间轴 ``` index=wineventlog | timechart count span=1h ``` ## 📸 屏幕截图 ### Splunk 接收 Windows 日志  ### 权限提升检测  ### niroco 调查  ### 登录失败检测  ## 📋 MITRE ATT&CK 覆盖范围 | 技术 | 名称 | 已检测 | |---|---|---| | T1078 | Valid Accounts | ✅ | | T1134 | Access Token Manipulation | ✅ | | T1110 | Brute Force | ✅ | | T1555 | Credentials from Password Stores | ✅ | | T1059 | Command and Scripting Interpreter | ✅ | | T1136 | Create Account | ✅ 已监控 | ## 📁 仓库结构 ## splunk-siem-homelab/ ├── README.md ├── detections/ │ ├── brute-force-4625.spl │ ├── privilege-escalation-4672.spl │ ├── new-account-creation-4720.spl │ └── process-execution-4688.spl ├── reports/ │ └── Ganesh_IR_Report_Splunk_SIEM_Lab.docx └── screenshots/ ├── soc-dashboard-complete.png ├── windows-logs-in-splunk.png ├── privilege-escalation-detection.png ├── niroco-investigation.png └── failed-login-detection.png ## 📄 事件响应报告 完整的 IR 报告可在 `/reports/` 目录中找到，内容包括： - 执行摘要 - 事件时间轴 - 所有发现及风险评级 - MITRE ATT&CK 映射 - 修复建议 ## 👨‍💻 作者 **Sree Ganesh Madhusoodhanan** 网络安全工程师 | CompTIA Security+ | Splunk Core 认证 Sun Life Financial — 多伦多，安大略省，加拿大 ## 🏷️ 标签 `splunk` `siem` `soc` `threat-detection` `mitre-attack` `incident-response` `cybersecurity` `blue-team` `spl` `windows-event-logs` `ubuntu` `homelab`

标签：AMSI绕过, Cloudflare, CSV导出, Home Lab, MITRE ATT&CK, Security+, SeImpersonatePrivilege, SOC仪表盘, SPL, Splunk Enterprise, SPL查询, VirtualBox, Windows 11, 企业级安全, 协议分析, 威胁检测, 安全事件管理, 安全信息与事件管理, 安全运营中心, 家庭实验室, 搜索引擎爬取, 日志转发器, 权限提升, 网络安全, 网络映射, 虚拟化, 隐私保护