Vaishnavrm777/Splunk-SOC-Home-Lab

# 使用 Splunk 和 Sysmon 的 SOC SIEM 实验室 ## 项目概述 本项目展示了如何使用 Splunk Enterprise、Sysmon 和 Windows Event Logs 来构建安全运营中心（SOC）家庭实验室。 ## 项目亮点 * 14 个主动检测 * 2 个基于关联的检测 * MITRE ATT&CK 映射 * Sysmon 事件监控 * Splunk 告警 * 检测覆盖率跟踪 * 威胁狩猎工作流 * 行为检测工程 该环境通过 Splunk Universal Forwarder 收集 Windows 和 Sysmon 遥测数据，并使用 SPL 查询和 SOC 检测对数据进行分析。 ## 架构图  ## 工具与技术 - Splunk Enterprise - Splunk Universal Forwarder - Sysmon - Windows Event Logs - SPL (Search Processing Language) - MITRE ATT&CK 框架 ## 数据源 | 数据源 | 描述 | |---|---| | Windows 安全日志 | 身份验证和登录事件 | | Windows 系统日志 | 系统级事件 | | Sysmon Event ID 1 | 进程创建 | | Sysmon Event ID 3 | 网络连接 | ## 检测规则 已实现的检测包括： - 编码 PowerShell 检测 - PowerShell 执行监控 - 登录失败检测 - 过多登录失败检测 - Certutil LOLBin 检测 - Office 进程派生 PowerShell 检测 - 网络连接监控 ## 检测覆盖率 当前检测库：14 个检测 ### 行为检测 * CMD → PowerShell * Explorer → PowerShell * Office → PowerShell * PowerShell 下载活动 * 可疑的用户目录执行 * WMI 活动检测 ### 关联检测 * 登录失败后跟随着成功登录 * PowerShell + 网络活动 ## MITRE ATT&CK 映射 | 检测 | 技术 ID | |---|---| | 编码 PowerShell | T1059.001 | | 登录失败尝试 | T1110 | | Certutil 执行 | T1218 | | 网络连接 | T1071 | ## SOC 仪表板功能 Splunk 仪表板包括： - 登录失败监控 - PowerShell 活动可视化 - 执行次数最多的进程 - 出站网络连接跟踪 - 安全事件分布 ## 关键学习成果 通过本项目，我获得了以下方面的实践经验： - SIEM 部署与配置 - 端点遥测数据摄取 - 使用 SPL 进行检测工程 - Sysmon 配置与监控 - 在 Splunk 中创建告警 - 威胁狩猎工作流 - MITRE ATT&CK 映射 - 排查日志摄取和权限问题 ## 路线图 本项目正在持续扩展中，以改进检测覆盖率、威胁狩猎能力和 SOC 监控工作流。 ### 已完成 * [x] Splunk Enterprise 部署 * [x] Splunk Universal Forwarder 配置 * [x] Sysmon 集成 * [x] Windows 事件日志摄取 * [x] SOC 监控仪表板 * [x] 告警工程 * [x] MITRE ATT&CK 映射 * [x] 检测覆盖率跟踪 * [x] 行为检测 * [x] 基于关联的检测 * [x] GitHub 文档 * [x] Medium 技术文章 ### 进行中 * [ ] Sigma 规则转换 * [ ] 额外的关联搜索 * [ ] 威胁模拟验证 * [ ] 检测调优 ### 计划中 * [ ] 注册表持久化检测 * [ ] Atomic Red Team 集成 * [ ] 威胁情报富化 * [ ] Wazuh 集成 * [ ] 多端点日志收集 * [ ] 高级威胁狩猎用例 ## 未来改进 计划中的未来增强功能包括： - 高级威胁模拟 - 额外的 Sysmon 检测 - Sigma 规则集成 - 威胁情报富化 - 自动化告警操作 - 多端点日志收集 ## 截图 ## 仪表板预览  ## 检测示例  ## Sysmon 遥测示例 

标签：IP 地址批量处理, OpenCanary, Sysmon, 安全运营, 扫描框架, 知识库安全