Paulcyber06/E4-Splunk-Dashboard-and-Alerts

GitHub: Paulcyber06/E4-Splunk-Dashboard-and-Alerts

基于 Splunk 的 SOC 实战教程,指导如何利用 404 错误日志构建 Web 侦察监控仪表板与定时告警,实现对可疑扫描行为的自动化检测与通知。

Stars: 0 | Forks: 0

# 第 4 集 — Splunk:监控仪表板与警报 ## 📚 目录 - [1. 背景](#1-contexte) - [2. 创建基础报告](#2-création-du-rapport-de-base) - [3. 保存并创建仪表板](#3-sauvegarde-et-création-du-dashboard) - [4. 创建时间序列报告](#4-création-du-rapport-temporel) - [5. 创建警报](#5-création-de-lalerte) - [6. 最终仪表板](#6-dashboard-final) - [7. 结论](#7-conclusion) ## 1. 背景 面对在第 1 集和第 2 集中检测到的持续可疑活动,Buttercup Games 的 SOC 决定不再对每次警报进行手动调查。他们建立了一个监控仪表板和自动警报,以实时检测任何新的侦察尝试。 这一举措将在后续调查中起到决定性作用——攻击者即将改变战术。 ## 2. 创建基础报告 首先创建将为仪表板第一个面板提供数据的报告。 ``` index=main sourcetype=access_combined_wcookie status=404 | stats count by clientip | sort -count | head 10 ``` [![创建 Top 10 IPs 搜索](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f95b14ac6f033609.png)](1.png) 此报告返回产生最多 404 错误的 **10 个 IP 地址** —— 这些是最可疑的侦察活动候选者。我们通过 **Save As > Report** 保存此报告,标题为 **Top 10 IPs — 404 Errors**。 [![Top 10 IPs — 404 Errors 表格](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/c0465cb8be033610.png)](2.png) ## 3. 保存并创建仪表板 现在我们通过 **Add to Dashboard > New Dashboard** 将其添加到仪表板。 [![保存至 Web Reconnaissance 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/a1616a1f55033611.png)](3.png) **仪表板参数:** | 参数 | 值 | |-----------|--------| | Dashboard Title | SOC — Web Reconnaissance Monitoring | | Dashboard type | Classic Dashboards | | Permissions | Private | 仪表板现已保存。 [![Web Reconnaissance 仪表板 — 表格视图](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/7de2e57866033611.png)](4.png) ## 4. 创建时间序列报告 接下来创建时间演变报告,以可视化逐日趋势: ``` index=main sourcetype=access_combined_wcookie status=404 | timechart span=1d count ``` **此命令的作用:** - `timechart` —— 生成时间可视化(X 轴始终是时间) - `span=1d` —— 按天对事件进行分组 - `count` —— 计算每天的 404 错误数量 [![创建 404 Errors Evolution 报告](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/c11a15c52e033612.png)](5.png) **图表揭示的信息:** | 日期 | 404 错误 | 观察 | |------|------------|-------------| | 5 月 5 日,星期二 | 76 | 活动开始 | | 5 月 6 日,星期三 | 224 | 第一个高峰 | | 5 月 8 日,星期五 | 174 | 略有下降 | | 5 月 9 日,星期六 | 216 | 反弹 —— 周末活动 | | 5 月 11 日,星期一 | 136 | 减少 | 我们以 **404 Errors Evolution — 7 Days** 为标题保存此报告,并将其添加到现有仪表板。 ## 5. 创建警报 仪表板允许进行可视化监控。但分析师无法全天候盯着仪表板。我们配置一个警报以便自动接收通知。 **警报搜索:** ``` index=main sourcetype=access_combined_wcookie status=404 | stats count by clientip | where count > 15 ``` 在 Splunk 中:从搜索界面选择 **Save As > Alert**。 [![警报配置 — Alert 404 Recognition Detection](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/2b82b7ab47033614.png)](28.png) **配置详情:** | 参数 | 值 | |-----------|--------| | Title | Alert - 404 Reconnaissance Detection | | Permissions | Shared in App | | Alert type | Scheduled | | Schedule | Run every hour | | Trigger alert when | Number of Results is greater than 0 | | Trigger | For each result | | Throttle | 已启用 — 60 分钟 | | Suppress results containing field value | clientip | | Action | Add to Triggered Alerts — severity Medium | 仪表板现已准备就绪。 ## 6. 最终仪表板 **SOC — Web Reconnaissance Monitoring** 仪表板将 3 个面板汇聚在一个视图中: [![SOC 仪表板 — 完整视图](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/1d4d1c25a6033615.png)](6.png) **仪表板结构:** | 面板 | 类型 | 用途 | |---------|------|---------| | Top 10 IPs — 404 Errors | 表格 | 一目了然地识别可疑 IP | | 404 Errors Evolution — 7 Days | 折线图 | 检测趋势和活动高峰 | | Status Codes Distribution | 柱状图 | 在全局流量中结合错误进行上下文分析 | ## 7. 结论 | 已实施的元素 | 收益 | |---------------------|---------| | Top 10 IPs 报告 | 立即识别可疑 IP | | 时间演变报告 | 检测趋势和异常行为 | | SOC 仪表板 | 无需手动搜索的统一视图 | | 自动警报 | 无需持续监控的实时通知 | | 按 IP 节流 | 零垃圾信息 —— 每个IP每小时仅通知一次 | 此步骤结束了 Splunk 检测阶段。由于攻击者未能成功获取 `/passwords.pdf`,他们将会改变战术 —— 接下来的 Wireshark 调查将揭示这一点。 ## 📁 复现此分析 使用的数据集是 Splunk 官方的 `tutorialdata.zip`,可在此处免费获取: [下载 tutorialdata.zip](https://docs.splunk.com/images/Tutorial/tutorialdata.zip) *© Paulcyber06 — 保留所有权利。*
标签:404错误分析, AMSI绕过, BlueTeam, Web安全, 仪表盘, 侦察监控, 威胁检测, 安全告警, 安全运营中心, 密码管理, 异常检测, 网络安全, 网络映射, 自动化响应, 蓝队分析, 隐私保护