CyberBlaster2077/SIEM-Detection-using-ELK-Stack

# 使用-ELK-Stack-进行-SIEM-检测 # 描述 本项目重点在于使用 ELK Stack 构建和测试自定义 SIEM 关联规则，以检测真实世界中的网络攻击，例如凭证填充、DNS 隧道和 PowerShell 漏洞利用。 # 目标 - 使用 Docker 部署 ELK Stack - 接收和分析日志 - 模拟攻击场景 - 开发检测规则 - 验证攻击检测 # 工具与技术 - Elasticsearch - Logstash - Kibana - Docker & Docker Compose - PowerShell - nslookup # 设置 - 通过 Docker 部署 ELK Stack - 使用 Logstash 管道接收日志 - 在 Kibana 中进行数据可视化 # 攻击模拟与检测 # 1. 凭证填充 - 来自同一 IP 的多次登录失败 - 使用了不同的用户名 - 使用日志关联进行检测 # 2. PowerShell 漏洞利用 - 检测到编码命令执行 - 识别出使用了 `-enc` 标志 # 3. DNS 隧道 - 检测到长/随机子域名查询 - 标记了重复的 DNS 请求 # 检测逻辑 - 关联依据： - 源 IP - 时间窗口 - 查询模式 - 命令特征 # 学习成果 - SIEM 架构 - 日志接收管道 - 检测工程 - 攻击模拟 - Kibana 分析

标签：AI合规, AMSI绕过, DNS隧道, Docker, Docker Compose, Elasticsearch, ELK Stack, Logstash, OpenCanary, PoC, PowerShell攻击, 关联分析, 内容过滤, 凭据填充, 威胁检测, 安全运营, 安全防御评估, 异常检测, 扫描框架, 攻击模拟, 日志管道, 暴力破解, 版权保护, 编码命令执行, 网络信息收集, 网络安全, 请求拦截, 越狱测试, 隐私保护, 驱动签名利用