Dipan-Khatri/SOC-Log-Monitoring-Dashboard

# SOC 日志监控仪表板 (Splunk) ## 📌 概述 本项目使用 Splunk 模拟了一个**安全运营中心 (SOC)** 仪表板，用于监控和分析身份验证日志。 该仪表板有助于检测失败的登录尝试、识别可疑 IP 地址，以及分析被针对的用户账户——类似于真实场景中的 SOC 一级分析师工作流程。 ## 🚀 功能特性 * 🔐 登录状态概览（成功与失败） * 🌐 失败登录次数最多的 IP * 📊 随时间变化的失败登录活动 * 👤 最受针对的用户 ## 🛠 使用的技术 * Splunk Enterprise * SPL (Search Processing Language) * 正则表达式 (`rex` 命令) ## 🔍 关键查询 ### 提取 IP 地址 ``` index=* FAILED | rex field=_raw "(?\d+\.\d+\.\d+\.\d+)" | stats count by ip ``` ### 🧾 示例日志格式 2026-04-23 10:01:00, 192.168.1.10, admin, FAILED 2026-04-23 10:01:05, 192.168.1.10, admin, FAILED 2026-04-23 10:01:10, 192.168.1.20, john, FAILED ### 随时间变化的失败登录活动 ``` index=* FAILED | timechart count ``` ### 最受针对的用户 ``` index=* FAILED | rex field=_raw "(?\d{4}-\d{2}-\d{2} \d{2}:\d{2}:\d{2}),\s*(?\d+\.\d+\.\d+\.\d+),\s*(?\w+),\s*(?\w+)" | stats count by user | sort -count ``` ## 📸 仪表板预览  ## 🎯 关键检测用例 此仪表板通过突出显示来自同一 IP 地址或用户账户的重复失败登录尝试，帮助识别潜在的**暴力破解登录攻击**。 ## 📚 我学到了什么 * 使用正则表达式进行日志解析和字段提取 * 在 Splunk 中构建仪表板 * 从日志中识别攻击模式 * SOC 级别的监控与分析 ## ▶️ 如何复现 1. 安装 Splunk Enterprise (本地实例) 2. 接入示例身份验证日志 (CSV 或文本) 3. 运行“关键查询”部分中的 SPL 查询 4. 为以下内容创建仪表板面板： - 登录状态概览 - 失败登录次数最多的 IP - 随时间变化的失败登录活动 - 最受针对的用户 ## 🧠 为什么这很重要 本项目展示了 SOC 分析师如何： - 实时监控身份验证日志 - 检测暴力破解登录尝试 - 识别高风险 IP 地址和用户账户 - 使用 SIEM 工具 进行安全分析 ## 🔮 未来改进 * 🚨 为暴力破解攻击添加实时警报 * 📡 集成真实场景的日志源 * 🔍 添加深入调查功能 * 📈 通过更高级的可视化效果增强仪表板 ## 👨‍💻 作者 📌 正在寻找 SOC 分析师与网络安全实习机会 Dipan Khatri 网络安全爱好者 | 有志成为 SOC 分析师的人士 GitHub: https://github.com/Dipan-Khatri LinkedIn: https://www.linkedin.com/in/dipan-khatri/

标签：AMSI绕过, IP分析, PoC, SPL, Splunk Enterprise, 仪表盘, 威胁检测, 安全运营中心, 搜索处理语言, 攻击识别, 日志解析, 暴力破解, 登录尝试, 红队行动, 网络安全, 网络映射, 证书伪造, 身份验证日志, 隐私保护