OnlineOrthodontist/splunk-soc-lab

# Splunk SOC 检测实验室 ## 概述 使用 Splunk Enterprise、Sysmon、Ubuntu Server 和 Windows 11 搭建了一个家庭 SOC 实验室。 本项目的目的是学习： - SIEM 基本原理 - 端点遥测 - Windows 事件日志记录 - Sysmon 进程创建日志记录 - 检测工程 - 遥测管道故障排除 ## 实验室环境 ### 系统 - Ubuntu 24 Server - Windows 11 虚拟机 - VirtualBox - Splunk Enterprise - Splunk Universal Forwarder - Sysmon ## 构建的检测 ### PowerShell 生成 CMD 使用 Sysmon 事件 ID 1 进程创建遥测数据，检测到 PowerShell 生成 cmd.exe 的行为。 ### 本地管理员账户创建 检测到了： - 本地用户创建 - 管理员组分配 相关的 Windows 安全事件 ID： - 4720 → 用户账户已创建 - 4732 → 用户被添加到本地管理员组 ## SPL 查询示例 ### Sysmon 进程创建 ``` index=* sourcetype="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 ``` ### PowerShell 生成 CMD ``` index=* EventCode=1 "powershell.exe" "cmd.exe" ``` ### 用户账户创建 ``` index=* EventCode=4720 ``` ### 添加管理员组 ``` index=* EventCode=4732 ``` ## 遇到的问题 ### Ubuntu 24 / Splunk 安装问题 在 Ubuntu 26 上安装 Splunk 期间遇到了启动和服务管理问题，不得不切换到 Ubuntu Server 24。 ### VirtualBox 网络问题 排查了 Windows 端点和 Splunk 服务器之间的 NAT 网络和转发连接性问题。 ### 日志记录缺口 最初，账户创建和管理员组事件并未在 Splunk 中显示。 解决方法： - 启用高级 Windows 审计 - 验证本地事件生成 - 检查遥测转发情况 ### Sysmon 解析问题 最初接收到的是原始 XML 数据块，而不是正确解析的字段，直到修正了 Splunk TA 配置才解决。 ## 经验教训 这个项目教会了我： - SIEM 遥测管道的工作原理 - 端点日志是如何生成和转发的 - 攻击者如何建立持久性 - 验证日志管道的重要性 - 如何排查缺失的遥测数据 ## MITRE ATT&CK 映射 | 活动 | 技术 | ATT&CK ID | |---|---|---| | PowerShell 执行 | PowerShell | T1059.001 | | 从 PowerShell 生成的 CMD | 命令和脚本解释器 | T1059 | | 本地账户创建 | 创建账户：本地账户 | T1136.001 | | 将用户添加到管理员组 | 账户操纵 | T1098 | | 通过 Sysmon 进行进程创建遥测 | 进程发现/监控 | T1057 | | Windows 事件日志收集 | 指标收集 | T1005 | ## 检测逻辑 ### PowerShell 生成 CMD 此行为可能表明： - 脚本执行 - 恶意自动化 - 攻击者亲自操作键盘的活动 - 恶意软件生成辅助 shell MITRE 映射： - T1059 - T1059.001 ### 本地管理员账户创建 攻击者通常会： - 创建持久性账户 - 提升权限 - 在系统沦陷后维持访问权限 检测查询： ``` index=* EventCode=4720 ``` ``` index=* EventCode=4732 ``` MITRE 映射： - T1136.001 - T1098

标签：AMSI绕过, meg, OpenCanary, SOC实验室, SPL查询, Sysmon, Ubuntu Server, VirtualBox, Windows 11, Windows事件日志, 信息安全, 威胁检测, 安全大数据, 安全运营中心, 实验环境搭建, 权限提升检测, 用户行为监控, 端点安全, 网络安全, 网络映射, 补丁管理, 隐私保护