Kowsalya1052000/Splunk-Detection-Lab
GitHub: Kowsalya1052000/Splunk-Detection-Lab
一个基于 Splunk 的安全检测实验室,收集了用于安全监控的 SPL 查询、检测规则和日志分析方法。
Stars: 0 | Forks: 0
# Splunk 检测实验室
Splunk 实践实验室,记录了 SPL 查询,
检测规则,仪表盘构建以及
用于安全监控的日志分析。
## 实验环境
- Splunk 免费许可证 (500MB/天)
- 示例安全日志
- Windows 事件日志
- Linux 认证日志
- 网络流量日志
## SPL 查询库
### 失败登录检测
```
index=* EventCode=4625
| stats count by src_ip, user
| where count > 5
| sort - count
```
### 可疑进程创建
```
index=* EventCode=4688
| stats count by ParentProcessName,
NewProcessName, user
| sort - count
```
### 网络连接分析
```
index=* sourcetype=network
| stats count by src_ip, dest_ip, dest_port
| where count > 100
| sort - count
```
## 已构建的检测
| # | 检测规则 | 战术 | 状态 |
|---|---|---|---|
| 01 | 暴力破解登录 | 凭据访问 | 🔄 进行中 |
| 02 | 可疑 PowerShell | 执行 | 🔄 即将推出 |
| 03 | 数据渗出 | 渗出 | 🔄 即将推出 |
## 已创建的仪表盘
- 🔄 SOC 概览仪表盘 — 即将推出
- 🔄 失败登录监控器 — 即将推出
- 🔄 网络流量分析器 — 即将推出
## 工具
- Splunk Enterprise 免费版
- Windows 事件日志样本
- MITRE ATT&CK 框架
标签:AMSI绕过, Cloudflare, Linux认证日志, MITRE ATT&CK, PoC, SPL查询, Windows事件日志, 仪表盘, 可疑进程创建, 威胁检测, 安全工程, 安全运营中心, 实验室环境, 异常网络连接, 数据窃取, 暴力破解, 检测规则, 红队行动, 网络安全, 网络映射, 网络流量分析, 网络资产发现, 隐私保护