phredreeq/incident-investigation-report

GitHub: phredreeq/incident-investigation-report

一份基于 Splunk 分析 Windows 暴力破解攻击的 SOC 事件调查报告模板与实战案例。

Stars: 0 | Forks: 0

# 事件调查报告 ## 可疑身份验证活动 — 暴力破解攻击 ## 概述 | 字段 | 详情 | |---|---| | **报告日期** | 2024年1月15日 | | **严重程度** | 🔴 高 | | **状态** | 调查中 | | **攻击类型** | 暴力破解身份验证攻击 | | **使用工具** | Splunk SIEM | ## 执行摘要 2024年1月15日大约凌晨 2:00,检测到针对 admin 账户的 可疑身份验证事件。一个外部 IP 地址 (192.168.1.105) 在非工作时间内的 5 分钟内发起了 30 次连续的失败登录尝试, 随后在凌晨 2:05 成功通过了一次 身份验证。 此模式与针对特权账户的自动化暴力破解攻击一致, 属于严重程度为“高”的事件,需要立即响应。 检测是通过 Splunk SIEM 实现的,结合了 对 Windows 身份验证日志应用阈值和关联逻辑的 SPL 查询。 ## 事件时间线 | 时间 (UTC) | 事件 | 事件 ID | |---|---|---| | 02:00:00 | 来自 192.168.1.105 的首次失败登录尝试 | 4625 | | 02:00:00 - 02:04:50 | 30 次连续失败登录尝试 | 4625 | | 02:05:10 | ⚠️ 成功登录 — 攻击者获得访问权限 | 4624 | | 02:05:10 | 事件升级以进行调查 | — | ## 证据 ### 证据 1 — 失败登录尝试 **使用的查询:** index=main source="windows_auth_logs.csv" event_id=4625 **结果:** 来自 IP 192.168.1.105 的 60 多次失败登录事件 ### 证据 2 — 阈值分析 **使用的查询:** index=main source="windows_auth_logs.csv" event_id=4625 | stats count by ip_address | where count > 5 | sort -count **结果:** | IP 地址 | 失败尝试次数 | |---|---| | 192.168.1.105 | 60+ | | 10.0.0.22 | 10 | ### 证据 3 — 关联分析 **使用的查询:** index=main source="windows_auth_logs.csv" | stats count(eval(event_id="4625")) as failures, count(eval(event_id="4624")) as successes by ip_address | where failures > 5 AND successes > 0 | sort -failures **结果:** | IP 地址 | 失败次数 | 成功次数 | |---|---|---| | 192.168.1.105 | 60+ | 10 | | 10.0.0.22 | 10 | 6 | ## 分析 ### 发现 1 — 自动化攻击模式 攻击者 IP 在不到 5 分钟的时间内 产生了 60 多次失败登录尝试。这种速度与 自动化暴力破解软件的行为一致,而非手动尝试。 ### 发现 2 — 特权账户被针对性攻击 攻击者专门针对 admin 账户,因为它是系统中 最高特权级别的账户,然而,一旦获得访问权限, 这将最大化潜在的破坏。 ### 发现 3 — 非工作时间活动 攻击发生在凌晨 2:00,这属于正常工作时间之外, 并且这是一种用于规避 安全团队检测的常用技术。 ### 发现 4 — 第二个可疑 IP IP 10.0.0.22 超过了失败阈值, 有 10 次失败尝试和 6 次成功登录, 需要进一步调查。 ### 发现 5 — 确认成功失陷 攻击者在凌晨 2:05 成功通过身份验证, 确认 admin 账户已遭到入侵。 ## 结论与建议 ### 紧急行动 | 优先级 | 行动 | |---|---| | 1 | 🚫 在防火墙处封禁 192.168.1.105 和 10.0.0.22 | | 2 | 🔒 立即锁定被入侵的 admin 账户 | | 3 | 🔑 使用高强度密码重置 admin 凭据 | | 4 | 🔍 调查凌晨 2:05 之后采取的所有操作 | | 5 | 📢 升级至 Tier 2 分析师进行取证调查 | ### 预防建议 | 建议 | 目的 | |---|---| | 启用 MFA | 即使密码被猜中也能防止暴力破解成功 | | 账户锁定策略 | 5 次失败尝试后自动锁定 | | Splunk 实时告警 | 立即通知非工作时间的活动 | | 特权账户审计 | 审查所有 admin 账户是否存在类似活动 | ## 证据截图 ![查询 1 - 所有失败记录](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/fd3489cf18043509.png) ![查询 2 - 按 IP 统计](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/6de60325a5043510.png) ![查询 3 - 阈值](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/930179f1fa043510.png) ![查询 4 - 铁证](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/db5cbba26c043511.png) ## 👤 分析师 Fredrick Agufenwa 网络安全学生 | SOC 与威胁检测
标签:AMSI绕过, IT运维, Socks5代理, SOC分析师, Splunk SIEM, SPL查询, Windows身份验证日志, 凭据访问, 初始访问, 威胁检测, 安全事件分析, 安全取证, 安全运营中心, 库, 应急响应, 攻击时间线, 暴力破解攻击, 特权账户保护, 网络安全, 网络映射, 调查报告, 隐私保护