Manmadha11/soc-attack-investigation-splunk
GitHub: Manmadha11/soc-attack-investigation-splunk
本项目构建了一个基于 Splunk 和 Windows 遥测技术的 SOC 攻击调查实验室,用于实践检测工程与蓝队事件响应工作流。
Stars: 0 | Forks: 0
# 使用 Splunk Enterprise 进行 SOC 攻击调查
### 检测工程、告警、仪表盘监控与事件调查
# 项目概述
本项目演示了一个完整的
安全运营中心 (SOC)
攻击调查工作流,
使用 Splunk Enterprise、
Windows 遥测、
PowerShell 日志记录
和 Sysmon 监控。
该实验室在隔离环境中
模拟了真实的攻击者行为,
以验证:
- 检测工程
- SIEM 监控
- 告警生成
- 仪表盘可视化
- 事件调查
- MITRE ATT&CK 映射
# 项目目标
本项目的主要目标是:
- 模拟真实攻击场景
- 收集和分析 Windows 遥测数据
- 开发 Splunk 检测和告警
- 构建 SOC 调查工作流
- 创建集中监控仪表盘
- 执行事件调查和 IOC 提取
# 使用技术
| 技术 | 用途 |
|---|---|
| Splunk Enterprise | SIEM 平台 |
| Splunk Universal Forwarder | 日志转发 |
| Windows 10 | 受监控终端 |
| Sysmon | 高级终端遥测 |
| PowerShell Logging | 脚本执行监控 |
| Kali Linux | 攻击模拟 |
| SPL (Search Processing Language) | 检测工程 |
# 攻击场景
模拟攻击链包括:
1. 多次登录失败尝试
2. 成功身份验证
3. 权限提升
4. 编码的 PowerShell 执行
5. SIEM 告警生成
6. SOC 调查工作流
# 架构工作流
```
Kali Linux
↓ Attack Activity
Windows 10 + Sysmon
↓ Telemetry
Splunk Universal Forwarder
↓ Log Forwarding
Splunk Enterprise
↓
Dashboards + Alerts + Investigation
```
# 核心特性
### 检测工程
- 暴力破解检测
- 登录关联检测
- 权限提升监控
- PowerShell 执行监控
### 告警工程
- 计划 SIEM 告警
- 身份验证监控
- 关联入侵检测
- 威胁可见性自动化
### 仪表盘工程
- 身份验证监控仪表盘
- 权限提升可视化
- PowerShell 监控面板
- 攻击关联可见性
### 事件调查
- 攻击时间线重建
- IOC 提取
- Windows 事件分析
- MITRE ATT&CK 映射
# 检测覆盖范围
| 检测项 | 事件来源 |
|---|---|
| 暴力破解检测 | Event ID 4625 |
| 成功登录检测 | Event ID 4624 |
| 权限提升检测 | Event ID 4732 |
| PowerShell 检测 | PowerShell Logs |
| 身份验证关联 | 4624 + 4625 |
# MITRE ATT&CK 映射
| 技术 | ATT&CK ID |
|---|---|
| 暴力破解 | T1110 |
| 有效账户 | T1078 |
| 账户操纵 | T1098 |
| PowerShell | T1059.001 |
# 仪表盘概述
# 项目结构
```
soc-attack-investigation-splunk/
│
├── README.md
│
├── architecture/
│ ├── lab_architecture.md
│ └── network_flow.png
│
├── detections/
│ ├── brute_force_detection.md
│ ├── privilege_escalation.md
│ ├── account_creation.md
│ ├── powershell_detection.md
│ └── login_correlation.md
│
├── alerts/
│ ├── brute_force_alert.md
│ ├── privilege_escalation_alert.md
│ ├── powershell_alert.md
│ └── correlation_alert.md
│
├── dashboard/
│ ├── dashboard_overview.md
│ └── dashboard_panels.md
│
├── reports/
│ ├── incident_report.md
│ └── investigation_summary.md
│
├── mitre/
│ └── mitre_mapping.md
```
# 调查工作流
SOC 工作流包括:
1. 攻击模拟
2. Windows 遥测生成
3. 日志转发
4. SIEM 接入
5. 检测触发
6. 告警生成
7. 仪表盘监控
8. 事件调查
9. IOC 提取
10. MITRE ATT&CK 映射
# 失陷指标 (IOC)
| IOC 类型 | 值 |
|---|---|
| Event ID | 4625 |
| Event ID | 4624 |
| Event ID | 4732 |
| PowerShell 指标 | -enc |
| 主机 | Windows 10 Endpoint |
# 展示技能
本项目展示了对以下方面的实践经验:
- SIEM 工程
- Splunk SPL
- 检测工程
- Windows 事件分析
- PowerShell 监控
- Sysmon 遥测
- 告警工程
- 仪表盘可视化
- 事件调查
- MITRE ATT&CK 映射
# 未来改进
计划中的未来增强功能包括:
- 高级 Sysmon 检测
- 威胁狩猎仪表盘
- Sigma 规则集成
- 自动化响应工作流
- 多终端监控
- 威胁情报富化
- SOAR 集成
# 总结
本项目演示了一个端到端的
SOC 监控与调查工作流,
使用 Splunk Enterprise 和 Windows 遥测技术。
该实施成功模拟了:
- 身份验证攻击
- 权限提升
- 可疑 PowerShell 执行
- SIEM 告警工程
- SOC 调查工作流
该项目提供了关于
真实世界蓝队运营
和检测工程方法论的实践经验。
标签:IOC提取, OpenCanary, PowerShell日志, SOC工作流, SPL, Splunk Enterprise, Splunk Universal Forwarder, Sysmon, Windows 10, 仪表盘, 免杀技术, 告警规则, 子域名变形, 安全运营中心, 库, 应急响应, 攻击模拟, 攻击调查, 数字取证, 无线安全, 暴力破解检测, 权限提升监控, 模拟攻击链, 管理员页面发现, 网络安全实验室, 网络映射, 自动化脚本, 身份验证监控, 集中监控, 驱动签名利用, 高级端点遥测