RealErenYeager/ssh-brute-force-detection-splunk-siem

# 🔐 使用 Splunk SIEM 检测和分析 SSH 暴力破解攻击 ## 📌 概述 本项目演示了一个模拟的 SOC (安全运营中心) 工作流程，在此过程中执行了 SSH 暴力破解攻击，并使用 Splunk SIEM 进行了检测。 该实验包含攻击模拟、日志收集、检测和事件分析。 ## 🧱 实验架构 Kali Linux (攻击机) → Ubuntu (靶机) → Splunk (SIEM) ## 🛠️ 所用工具 * Kali Linux (攻击模拟) * Ubuntu (日志生成) * Splunk Enterprise (日志分析与检测) ## ⚔️ 攻击模拟 在 Kali Linux 上使用 Hydra 针对 Ubuntu 机器的 SSH 服务执行了暴力破解攻击。 ## 📥 日志收集 从以下位置收集了身份验证日志： `/var/log/auth.log` 日志被导入到 Splunk 中进行分析。 ## 🔍 检测逻辑 ### 暴力破解检测 ``` index=main "Failed password" | rex "from (?\d+\.\d+\.\d+\.\d+)" | stats count by src_ip ``` ### 失败 → 成功检测 ``` index=main ("Failed password" OR "Accepted password") | rex "from (?\d+\.\d+\.\d+\.\d+)" | stats count(eval(searchmatch("Failed password"))) as failed, count(eval(searchmatch("Accepted password"))) as success by src_ip ``` ## 🚨 关键发现 * 检测到多次失败的登录尝试 * 暴力破解后出现成功登录 * 已识别攻击者 IP：192.168.29.55 ## 📊 结果 成功使用 Splunk 模拟并检测了暴力破解攻击，演示了真实世界中的 SOC 检测和分析工作流程。 ## 📸 截图 （参见 /screenshots 文件夹） ## 📝 事件报告 （参见 /report/incident-report.md）

标签：AMSI绕过, Blueteam, Hydra, Incident Response, Splunk SPL, SSH暴力破解, 免杀技术, 威胁检测, 安全分析与可视化, 安全实验, 安全运营中心, 暴力破解检测, 网络安全, 网络映射, 蓝军, 蜜罐与攻击模拟, 认证日志分析, 隐私保护