Guscyrus-cyber/Splunk_Incident_Response

Splunk 事件响应\ \ 本事件响应分析实验演示了使用 Splunk Enterprise 作为集中式 SIEM 平台检测、调查、分析和响应可疑安全活动的过程。本实验使用数据集 Tier-1_SOC_25events.log，其中包含模拟的安全事件，代表了真实安全运营中心 (SOC) 环境中常见的攻击和调查场景。该数据集包括身份验证失败、账户锁定、可疑进程执行、恶意软件相关活动、异常网络连接、文件完整性事件、DNS 异常以及潜在的恶意命令执行。\ 本实验旨在通过使用 Splunk Search Processing Language (SPL) 识别妥协指标 (IOC)、分析攻击者行为、关联相关事件并重建事件时间线，来模拟真实世界的一级和二级 SOC 调查工作流程。调查过程侧重于事件验证、字段提取、身份验证分析、恶意软件检测、网络调查、可疑进程监控和文件活动分析。除了调查技术外，本实验还介绍了运营 SOC 任务，例如创建仪表板、生成警报、构建用于富化的查找表，以及安排自动化报告以进行持续监控和事件跟踪。 本实验演示了如何将 Splunk 不仅用于日志聚合和搜索，还用于包括检测、分类、威胁狩猎、遏制支持和安全报告在内的事件响应操作。整体工作流程反映了企业环境中常见的 SOC 程序，在这些环境中，分析师调查安全警报，识别恶意活动，记录调查结果，并通过安全事件的集中可见性和关联来支持缓解工作。 步骤 1 — 确认事件数据集并建立调查基线、验证总事件量、识别与身份验证相关的安全活动，以及识别 Sourcetype 和主机活动\ \ 用于“确认事件数据集”的查询\ \ index=main source="/var/log/auth.log" \| table \_time host source sourcetype \_raw\ \ 此查询用于确认 Linux 身份验证数据集已成功导入到 [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html?utm_source=chatgpt.com)，并且可以在主索引中完全搜索。该查询显示了与身份验证日志相关的事件时间戳、主机系统、来源路径、sourcetype 分类和原始日志数据。此步骤在事件分析开始之前建立了初步的调查基线。在真实的安全运营中心 (SOC) 环境中，分析师在执行威胁狩猎或事件关联之前，会首先验证数据的可见性和日志的完整性。结果确认了可用于调查的身份验证事件、会话活动和安全相关日志。\ \ 用于“验证总事件量”的查询\ \ index=main source="/var/log/auth.log" \| stats count\ \ 此查询用于确定从 Linux 身份验证日志来源索引的身份验证事件总数。结果返回了 1669 个事件，确认数据集活跃地填充了身份验证和安全活动。建立事件量是重要的事件响应程序，因为分析师在开始关联和取证分析之前必须了解调查范围的大小。此验证还确认了 Splunk 成功索引了身份验证数据，没有出现导入失败。\ \ 用于“识别与身份验证相关的安全活动”的查询\ \ index=main source="/var/log/auth.log" ("Failed password" OR "Accepted password" OR "Invalid user" OR "sudo" OR "session opened" OR "session closed") \| table \_time host \_raw\ \ 此查询用于从 Linux 身份验证日志中隔离出与身份验证相关的安全事件。搜索重点是失败的登录尝试、成功的身份验证、无效账户访问尝试、sudo 活动以及会话创建或终止事件。这些事件类别在事件响应期间通常会受到调查，因为它们可能表明暴力破解攻击、未经授权的访问尝试、权限升级或可疑的账户行为。该查询返回了 1318 个与安全相关的事件，确认了存在适合进行威胁分析和 SOC 调查工作流程的身份验证活动。\ \ 用于“识别 Sourcetype 和主机活动”的查询\ \ index=main source="/var/log/auth.log" \| stats count by sourcetype host\ \ \ 此查询用于识别与身份验证数据集相关的 sourcetype 和主机系统。结果显示主要的 sourcetype 是 auth 和 auth-too_small，两者都源自 Linux 主机系统。Sourcetype 验证是一项重要的 SOC 程序，因为 Splunk 依赖 sourcetype 进行解析、字段提取、事件分类和关联准确性。正确的 sourcetype 分类可以提高搜索效率，并在本实验剩余的时间里支持准确的事件调查。\ \ 步骤 2 — 字段提取和身份验证调查\ \ 识别失败登录尝试查询\ \ index=main source="/var/log/auth.log" "Failed password" \| table \_time host \_raw\ \ \ 此查询用于从 Linux 身份验证日志中隔离出失败的 SSH 身份验证尝试。密码失败事件是重要的妥协指标 (IOC)，因为它们可能表明暴力破解攻击、密码喷涂、未经授权的访问尝试或账户枚举活动。该查询显示了与每次失败登录尝试相关的事件时间戳、受影响的主机系统和原始身份验证事件数据。在事件响应操作期间，分析师会调查失败的身份验证活动，以识别可疑的登录行为，确定攻击频率，并建立恶意访问尝试的初始时间线。\ \ 提取攻击者源 IP 地址查询\ \ index=main source="/var/log/auth.log" "Failed password" \| rex "from (?\\[0-9a-fA-F\\\\\]+)" \| stats count by src_ip \| sort - count\ \ \ 此查询用于从 Linux 身份验证日志中提取与失败身份验证尝试相关的源 IP 地址。rex 命令执行正则表达式字段提取，以识别存储在原始 SSH 身份验证事件中的攻击者 IP 地址。提取 src_ip 字段后，该查询会计算与每个源 IP 地址相关的失败登录尝试次数，并根据频率按降序对结果进行排序。源 IP 提取是关键的事件响应和威胁狩猎程序，因为攻击者 IP 地址会成为妥协指标 (IOC)，用于警报、关联、防火墙封堵、威胁情报富化和缓解活动。\ \ 识别目标用户名查询\ \ index=main source="/var/log/auth.log" ("Failed password" OR "Invalid user") \| rex "(?:Failed password for (?:invalid user )?\|Invalid user )(?\\S+)" \| stats count by user \| sort – count\ \ \ 此查询用于识别在失败的身份验证尝试和无效账户访问活动中被作为目标的用户名。rex 命令使用正则表达式字段提取从 SSH 身份验证日志中提取用户名。提取后，该查询会计算与每个目标账户相关的身份验证事件次数，并按频率对结果进行排序。在事件响应期间，用户名分析非常重要，因为攻击者通常会对管理账户或常用用户名执行账户枚举、暴力破解攻击和凭据猜测。识别反复被作为目标的账户有助于分析师优先进行调查并评估潜在的账户泄露风险。\ \ 调查权限升级和 Sudo 活动查询\ \ index=main source="/var/log/auth.log"\ sudo\ \| table \_time host \_raw\ \ \ 此查询用于调查 Linux 身份验证日志中的 sudo 活动和潜在的权限升级事件。与 Sudo 相关的身份验证事件可能表明管理访问、提权命令执行、权限升级尝试或特权账户的未经授权使用。该查询显示了与 sudo 活动相关的事件时间戳、受影响的主机系统和原始身份验证事件数据。在事件响应调查期间，分析师会审查特权账户行为，以确定是否滥用了提升的访问权限、是否执行了可疑命令，以及攻击者是否试图在系统中获取更高级别的权限。\ \ \ \ 步骤 3 — 暴力破解检测和身份验证关联 现在，检测暴力破解行为、重复的身份验证失败、可疑的登录模式以及可能的账户针对性活动。在真实的 SOC 环境中，分析师会随着时间的推移关联失败的身份验证尝试，以确定攻击者是否正在尝试凭据猜测、密码喷涂或未经授权的访问。 识别重复的失败登录尝试 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| stats count by src_ip\ \| sort – count\ \ \ \ \ 此查询用于识别来自特定源 IP 地址的重复失败登录尝试。结果显示有 15 次失败的验证尝试源自源 IP 地址 ::1，这是代表本地系统的 IPv6 环回地址，其 IP 地址为 127.0.0.1。重复的失败验证尝试可能表明暴力破解活动、凭据输入错误或验证测试活动。该查询从 Linux 身份验证日志中提取了源 IP 地址，并统计了与每个地址相关的失败登录尝试次数。rex 命令从 SSH 身份验证事件中提取源 IP 地址，而 stats 命令则统计与每个 IP 地址相关的失败验证尝试次数。按计数对结果进行排序有助于识别产生最多失败登录的系统。来自同一来源的重复验证失败可能表明存在针对 Linux 系统的暴力破解活动、密码喷涂或未经授权的访问尝试。所以 识别失败登录期间被针对的账户 查询 index=main source="/var/log/auth.log"\ ("Failed password" OR "Invalid user")\ \| rex "(?:Failed password for (?:invalid user )?\|Invalid user )(?\\S+)"\ \| stats count by user\ \| sort - count 检测随时间变化的身份验证活动 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| bucket \_time span=5m\ \| stats count by \_time\ \| sort \_time 此查询用于通过将事件分组到五分钟的间隔来分析随时间变化的失败验证活动。bucket 命令将验证事件组织到时间窗口中，而 stats 命令则统计在每个间隔期间发生的失败登录次数。基于时间的验证分析有助于识别失败登录活动中的激增，这些激增可能表明存在暴力破解攻击或自动化的验证尝试。这种类型的时间线分析通常用于 SOC 环境中，以检测可疑的验证行为并监控攻击频率。 调查失败尝试后的成功登录 查询 index=main source="/var/log/auth.log"\ ("Failed password" OR "Accepted password")\ \| table \_time host \_raw \ \ \ \ 此查询用于调查与失败登录尝试同时发生的成功验证事件。在事件响应期间，审查重复验证失败后的成功登录非常重要，因为攻击者可能在暴力破解或凭据猜测尝试后最终获得了访问权限。该查询按时间顺序显示验证活动，从而允许调查可疑的登录模式和潜在的账户受损活动。\ \ 步骤 4 — 可疑 Sudo 活动和权限升级调查 此步骤重点调查 Linux 身份验证日志中的 sudo 活动和特权命令。在事件响应调查中，sudo 事件非常重要，因为攻击者通常会在访问系统后尝试获取提升的权限。 调查 Sudo 活动 查询 index=main source="/var/log/auth.log"\ sudo\ \| table \_time host \_raw \ \ \ \ \ 此查询用于从 Linux 身份验证日志中识别 sudo 活动。Sudo 事件显示了在系统上执行的提权或管理命令。审查 sudo 活动有助于在调查期间识别特权访问、管理操作和可能的权限升级尝试。结果显示了事件时间、主机系统以及与 sudo 相关的原始日志事件。 统计 Sudo 活动 查询 index=main source="/var/log/auth.log"\ sudo\ \| stats count \ \ 此查询用于统计在身份验证日志中发现的与 sudo 相关的事件总数。统计特权活动有助于衡量在调查期间系统上发生了多少提权访问活动。大量 sudo 事件可能表明存在大量的管理使用或可疑的特权行为。 识别运行 Sudo 命令的用户 查询 index=main source="/var/log/auth.log"\ sudo\ \| rex "for (?\\w+)"\ \| stats count by user\ \| sort – count\ \ \ \ 查看 Sudo 活动时间线 查询 index=main source="/var/log/auth.log"\ sudo\ \| bucket \_time span=10m\ \| stats count by \_time\ \| sort \_time \ \ \ \ 此查询用于通过将事件分组到十分钟的间隔来分析随时间变化的 sudo 活动。这有助于可视化在调查期间提权命令活动发生的时间。时间线分析在事件响应期间非常有用，因为它有助于将特权活动与验证尝试、可疑命令或其他安全事件关联起来。\ 步骤 5 — 会话活动和用户访问调查 此步骤重点调查 Linux 身份验证日志中的会话活动和用户访问行为。会话事件有助于跟踪用户何时访问了系统以及会话何时关闭。在事件响应调查期间，审查会话活动有助于识别登录行为、用户访问模式和可能的可疑账户活动。 调查会话活动\ \ 查询 index=main source="/var/log/auth.log"\ ("session opened" OR "session closed")\ \| table \time host \_raw \ \ \ 此查询用于从 Linux 身份验证日志中调查会话活动。结果显示了在系统上打开或关闭用户会话的时间。会话活动有助于跟踪登录行为，并显示在调查期间用户何时访问或退出了系统。 统计会话事件 查询 index=main source="/var/log/auth.log"\ ("session opened" OR "session closed")\ \| stats count \ \ \ 此查询用于统计在 Linux 身份验证日志中发现的与会话相关的事件总数。统计会话活动有助于衡量在调查期间系统上发生了多少用户访问活动。 识别有会话活动的用户 查询 index=main source="/var/log/auth.log"\ ("session opened" OR "session closed")\ \| rex "for user (?\\w+)"\ \| stats count by user\ \| sort - count \ 此查询用于识别在 Linux 系统上打开或关闭会话的用户账户。该查询从会话事件中提取用户名，并统计与每个账户相关的会话活动次数。这有助于在调查期间跟踪用户访问行为。 查看随时间变化的会话活动 查询 index=main source="/var/log/auth.log"\ ("session opened" OR "session closed")\ \| bucket \_time span=10m\ \| stats count by \_time\ \| sort \_time \ \ \ \ 此查询用于通过将事件分组到十分钟的间隔来分析随时间变化的会话活动。时间线分析有助于可视化在调查期间用户会话活动发生的时间，并有助于将用户访问与其他身份验证或安全事件关联起来。\ 步骤 6 — 威胁狩猎和可疑身份验证活动 此步骤重点搜索 Linux 身份验证日志中的可疑身份验证行为和异常活动。威胁狩猎有助于识别在调查期间可能不会立即触发警报的潜在恶意行为。 识别无效用户尝试 查询 index=main source="/var/log/auth.log"\ "Invalid user"\ \| table \_time host \_raw \ \ \ 此查询用于从 Linux 身份验证日志中识别无效用户身份验证尝试。当针对系统上不存在的用户名进行登录尝试时，就会发生无效用户事件。这些事件可能表明在调查期间发生了账户枚举尝试或未经授权的访问活动。 统计无效用户尝试 查询 index=main source="/var/log/auth.log"\ "Invalid user"\ \| stats count\ \ \ 无效用户名 查询 index=main source="/var/log/auth.log"\ "Invalid user"\ \| rex "Invalid user (?\\S+)"\ \| stats count by user\ \| sort – count\ \ 查看随时间变化的可疑身份验证活动 查询 index=main source="/var/log/auth.log"\ ("Failed password" OR "Invalid user")\ \| bucket \_time span=10m\ \| stats count by \_time\ \| sort \_time \ \ 此查询用于通过将失败的登录尝试和无效用户事件分组到十分钟的间隔来分析随时间变化的可疑身份验证活动。时间线分析有助于识别可疑身份验证行为中的激增，并有助于可视化在调查期间潜在的攻击活动发生的时间。\ 步骤 7 — 查找表和 IOC 富化 此步骤重点介绍如何使用查找表通过额外的调查信息来丰富身份验证事件。在 SOC 调查中，查找有助于将标签、类别或威胁信息附加到妥协指标 (IOC)，例如源 IP 地址。 创建一个简单的 CSV 查找文件 | src_ip | label | |---------------|-----------------| | ::1 | Localhost | | 192.168.1.5 | Internal Device | | 45.155.205.12 | Suspicious IP | 将 CSV 作为查找表上传到 [Splunk Enterprise](https://www.splunk.com/en_us/products/splunk-enterprise.html?utm_source=chatgpt.com) 中，命名为：我输入的文件名为：ip_lookup.csv 提取源 IP 地址 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| table \_time src_ip \_raw\ \ 此查询用于从 Linux 身份验证日志中失败的验证事件中提取源 IP 地址。提取的 IP 地址将成为妥协指标 (IOC)，随后可以使用查找表对其进行丰富，以获取附加信息。 应用查找富化 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| lookup ip_lookup src_ip OUTPUT label\ \| table \_time src_ip label \_raw \ \ \ 此查询用于使用查找表来丰富身份验证事件。查找操作将提取的源 IP 地址与存储在 CSV 文件中的标签进行匹配。富化有助于分析师在调查期间快速识别 IP 地址是属于 localhost、内部设备还是可疑系统。 按查找标签统计事件 查询 index=main source="/var/log/auth.log" "Failed password" \| rex "from (?\\[0-9a-fA-F\\\\\]+)" \| lookup ip_lookup src_ip OUTPUT label \| table \_time src_ip label \_raw \ \ \ 此查询从失败的登录事件中提取源 IP 地址，并将其与 ip_lookup 查找表进行匹配。查找操作为 IP 地址添加了可读的标签，使调查更容易理解。结果显示了 15 个失败登录事件，包含提取的 src_ip 及其查找标签。这有助于识别失败的登录活动是来自 localhost、内部系统还是其他标记的来源。 查看经过富化的身份验证活动 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| lookup ip_lookup src_ip OUTPUT label\ \| sort - \_time\ \| table \_time src_ip label host \ \ 此查询用于显示来自 Linux 身份验证日志中经过富化的身份验证活动。结果显示了与失败的身份验证尝试相关的事件时间、提取的源 IP 地址、查找标签和主机系统。查找富化通过将可读信息附加到妥协指标 (IOC) 来帮助简化事件调查。\ \ \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\ \ \ 步骤 8 — 计划报告和警报调查 此步骤重点介绍如何在 Splunk Enterprise 中为可疑身份验证活动创建计划报告和警报。在 SOC 环境中，计划报告和警报有助于分析师持续监控失败的登录、可疑的访问尝试以及与身份验证相关的威胁。 创建失败登录监控查询 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| stats count by src_ip\ \| sort - count \ 此查询用于监控来自 Linux 身份验证日志的失败验证尝试。该查询从失败的登录事件中提取源 IP 地址，并统计与每个地址相关的失败尝试次数。这种类型的查询通常用于 SOC 环境中的计划报告和暴力破解监控。 另存为计划报告\ \ \ 此步骤用于为失败的身份验证监控创建计划报告。计划报告允许 Splunk 按特定间隔自动运行搜索，并持续监控可疑活动，而无需每次都进行手动调查。 创建失败登录警报 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| stats count by src_ip\ \| where count \>= 5 此查询用于识别产生五次或更多次失败登录尝试的源 IP 地址。结果显示，在 Linux 身份验证日志中，源 IP 地址 ::1 产生了 15 次失败的身份验证尝试。 另存为警报\ \ 此步骤用于为可疑的失败登录活动创建自动警报。每当查询检测到失败的身份验证尝试超过定义的阈值时，警报就会触发。警报有助于 SOC 分析师快速识别可疑活动并实时响应可能的攻击。\ \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\ \ \ \ 步骤 9 — 事件时间线和调查总结 最后一步重点构建身份验证时间线，并总结在事件响应分析实验中识别出的可疑活动。时间线分析有助于按时间顺序组织身份验证事件，并提供调查期间活动发生情况的更清晰全貌。 构建身份验证时间线 查询 index=main source="/var/log/auth.log"\ ("Failed password" OR "Invalid user" OR "session opened" OR "session closed" OR "sudo")\ \| table \_time host \_raw\ \| sort \_time \ \ \ \ \ \ \ 输出显示有 1318 个事件，但截图显示了 10 个事件。因此，此查询用于从 Linux 身份验证日志构建身份验证和会话活动的时间线。结果按时间顺序显示了会话打开事件、会话关闭事件、root 活动以及其他与身份验证相关的事件。将事件作为时间线查看有助于组织调查，并在事件响应过程中提供系统访问活动的更清晰视图。\ \ 输出显示：\ 会话打开事件，\ 会话关闭事件，\ 特权/root 活动，\ 与身份验证相关的活动， 全部按时间顺序排列 日志显示： LightDM 会话活动，\ root 会话活动，\ CRON 会话活动，\ systemd 会话活动，\ pkexec 特权会话活动。 统计与安全相关的身份验证事件 查询 index=main source="/var/log/auth.log"\ ("Failed password" OR "Invalid user" OR "sudo")\ \| stats count \ \ \ \ 此查询用于统计在调查期间发现的与安全相关的身份验证事件总数。该查询重点关注来自 Linux 身份验证日志的失败登录尝试、无效用户活动和与 sudo 相关的事件。 按事件类型查看身份验证活动 查询 index=main source="/var/log/auth.log"\ \| eval activity=case(\ searchmatch("Failed password"),"Failed Login",\ searchmatch("Invalid user"),"Invalid User",\ searchmatch("sudo"),"Sudo Activity",\ searchmatch("session opened"),"Session Opened",\ searchmatch("session closed"),"Session Closed"\ )\ \| stats count by activity\ \ 此查询用于按活动类型对身份验证事件进行分组。该查询将失败登录、无效用户尝试、sudo 活动和会话事件分类为单独的活动组。按类别组织事件有助于简化调查，并提供日志内部与身份验证相关活动的更好概览。 最终事件调查概览 查询 index=main source="/var/log/auth.log"\ \| stats count by sourcetype \ \ 此查询用于显示与 Linux 身份验证日志相关的 sourcetype。结果显示大多数事件被分类为 auth，而少数事件被分类为 auth-too_small。这确认了在整个事件响应调查过程中，身份验证数据集保持可搜索状态。\ \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\ \ 步骤 10 — 仪表板创建和调查可视化\ \ 最后一步重点介绍如何在 Splunk Enterprise 中创建一个简单的 SOC 仪表板，以可视化来自 Linux 身份验证日志的身份验证活动、失败登录尝试、会话活动和调查结果。仪表板有助于分析师快速监控可疑活动并在一个位置组织调查数据。 创建失败登录仪表板面板 查询 index=main source="/var/log/auth.log"\ "Failed password"\ \| rex "from (?\\[0-9a-fA-F\\\\\]+)"\ \| stats count by src_ip\ \| sort - count 创建会话活动仪表板面板 查询 index=main source="/var/log/auth.log"\ ("session opened" OR "session closed")\ \| stats count by host \ \ \ 此仪表板面板用于可视化来自 Linux 身份验证日志的会话活动。结果显示主机系统用户在调查期间产生了 1084 个与会话相关的事件创建 Sudo 活动仪表板面板 查询 index=main source="/var/log/auth.log"\ sudo\ \| stats count by host \ \ \ \ 此仪表板面板用于可视化来自 Linux 身份验证日志中与 sudo 相关的活动。结果显示主机系统用户在调查期间产生了 625 个与 sudo 相关的事件。 保存仪表板\ \ \ 使用这些面板标题： 按源 IP 划分的失败登录尝试\ 会话活动概览\ Sudo 活动监控\ \ 此步骤用于创建一个仪表板，以可视化来自 Linux 身份验证日志的身份验证和调查活动。该仪表板将失败登录监控、会话活动和与 sudo 相关的事件组合到一个单一的调查视图中，以便于 SOC 监控和分析。\ \_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\_\ \ 可视化\ \ 面板 1 — 按源 IP 划分的失败登录尝试\ \ 查询\ \ index=main source="/var/log/auth.log" "Failed password" \| rex "from (?\\[0-9a-fA-F\\\\\]+)" \| stats count by src_ip\ \| sort – count\ \ \ \ \ \ \ 面板 2 — 会话活动概览 \ 查询 index=main source="/var/log/auth.log"\ ("session opened" OR "session closed")\ \| stats count by host \ \ 面板 3 — Sudo 活动监控\ \ 查询\ \ index=main source="/var/log/auth.log" sudo \| stats count by host\ \

标签：IP 地址批量处理, SPL, Tier 1 SOC, Tier 2 SOC, 事件响应分析, 企业安全, 告警规则, 失陷标示, 安全事件可视化, 安全仪表盘, 安全报告, 安全数据分析, 安全运营中心, 库, 应急响应, 攻击时间线重建, 攻击行为分析, 日志富化, 红队行动, 网络映射, 网络资产管理, 自动化报告, 身份验证分析, 集中监控