Dipan-Khatri/SOC-Incident-Response-Playbook
GitHub: Dipan-Khatri/SOC-Incident-Response-Playbook
基于Splunk的SOC事件响应手册,模拟L1分析师检测暴力破解攻击并调查可疑登录活动的完整工作流。
Stars: 0 | Forks: 0
# 🚨 SOC 事件响应手册 (Splunk)
## 📌 概述
本项目使用 Splunk 模拟真实的 **SOC (Security Operations Center) 事件响应工作流**。
本项目使用 SIEM 工具模拟了 **Level 1 SOC Analyst 工作流**。
它展示了 SOC 分析师如何:
* 检测暴力破解攻击
* 调查可疑的登录活动
* 响应安全警报
## 🔥 场景
一条检测警报指出,在较短的时间窗口内,单个 IP 地址发起了多次失败的登录尝试,这表明存在潜在的暴力破解攻击行为。
**严重性:** Medium
**潜在影响:** 针对用户账户的未授权访问尝试
👉 完整调查报告:
📄 [查看事件报告](./incident-report.md)
## 🧰 使用的工具
* Splunk Enterprise
* SPL (Search Processing Language)
* Regex (`rex`)
## 📸 截图
### 🔔 触发的警报
### 🧪 检测结果
## 🧠 展示的技能
* SOC 警报调查
* 日志分析
* 检测结果验证
* 事件响应思维
## 🎯 项目为何重要
本项目展示了 SOC 分析师在真实环境中的操作方式:
- 监控和分诊安全警报
- 调查可疑的身份验证活动
- 识别暴力破解攻击模式
- 在升级之前验证检测结果
- 响应潜在的安全事件
## 它突出了从**数据监控到可操作安全决策**的转变。
## 👨💻 作者
**Dipan Khatri**
网络安全爱好者 | 有志成为 SOC 分析师者
🔗 GitHub: https://github.com/Dipan-Khatri
🔗 LinkedIn: https://www.linkedin.com/in/dipan-khatri/
### 🧪 检测结果
## 🧠 展示的技能
* SOC 警报调查
* 日志分析
* 检测结果验证
* 事件响应思维
## 🎯 项目为何重要
本项目展示了 SOC 分析师在真实环境中的操作方式:
- 监控和分诊安全警报
- 调查可疑的身份验证活动
- 识别暴力破解攻击模式
- 在升级之前验证检测结果
- 响应潜在的安全事件
## 它突出了从**数据监控到可操作安全决策**的转变。
## 👨💻 作者
**Dipan Khatri**
网络安全爱好者 | 有志成为 SOC 分析师者
🔗 GitHub: https://github.com/Dipan-Khatri
🔗 LinkedIn: https://www.linkedin.com/in/dipan-khatri/标签:BurpSuite集成, L1分析师, PoC, Regex, SPL, Splunk Enterprise, 安全事件调查, 安全告警研判, 安全运营, 安全运营中心, 异常登录检测, 扫描框架, 暴力破解, 渗透测试痕迹分析, 网络安全, 网络映射, 身份认证安全, 隐私保护