slach41/Splunk-SOC-Analyst-Labs
GitHub: slach41/Splunk-SOC-Analyst-Labs
这是一个专注于使用Splunk进行Windows安全日志分析和事件调查的SOC分析师实战实验室。
Stars: 0 | Forks: 0
# Splunk-安全运营中心-分析师-实验室
🛡️ 专注于 SIEM (Splunk) 日志分析、告警分类和安全事件调查的实战安全运营中心分析师实验室。
# 🛡️ Splunk 安全运营中心分析师实验室
欢迎来到我的安全运营知识库!此空间专用于记录我的实践经验、实际训练和网络安全实验室。在这里,我使用 Splunk SIEM、Windows/Linux 日志和网络流量来模拟和分析真实世界的安全事件。
## 📂 实验室 1:Splunk 中的 Windows 日志分析与事件关联
### 🔍 事件概述
- **目标:** 在 Splunk SIEM 中分析 Windows 安全日志,以检测可疑的身份验证行为和未经授权的进程创建。
- **平台/工具:** Splunk Enterprise、Windows 安全事件日志。
- **调查的关键事件 ID:**
- `4624` (成功登录) - 用于跟踪活动会话。
- `4625` (登录尝试失败) - 用于识别潜在的暴力破解或未经授权访问尝试。
- `4672` (分配给新登录的特殊权限) - 用于检测管理员/权限提升活动。
- `4688` (已创建新进程) - 用于审计登录后的命令行执行和系统活动。
### 🛠️ 调查与日志关联步骤
通过按时间顺序关联 SIEM 平台捕获的事件,可以勾勒出一条清晰的可疑活动链:
1. **外部管理登录:**
记录了一次来自外部 IP 地址 (`185.220.101.4`) 的用户 `admin` 的成功登录 (`EventID 4624`)。随后立即进行了权限提升 (`EventID 4672`)。
2. **可疑进程生成:**
在管理员登录后,`EventID 4688` 捕获了 `powershell.exe` 进程的创建。在生产环境中,外部登录后立即生成 PowerShell 是一个关键的入侵指标 (IoC),需要立即分类处理。
3. **内部账户活动:**
与此同时,本地账户监控显示,用户 `john` 从内部 IP (`10.0.0.55`) 出现一次失败的登录尝试 (`EventID 4625`),紧接着是一次成功的登录 (`EventID 4624`) 以及 `cmd.exe` 的执行 (`EventID 4688`)。
### 📊 工作证明 (SIEM 仪表板)
*以下是用于分析关联 `windows_security.log` 事件的实际 Splunk 搜索实例:*
### 🎯 分析师结论与复盘
- **判定:** **可疑活动 / 潜在横向移动**。成功的外部管理登录后突然进行命令行执行 (`powershell.exe` 和 `cmd.exe`) 的关联表明行为高度异常。
- **后续步骤 (分类工作流):**
- 验证外部 IP (`185.220.101.4`) 是否属于授权的 VPN/员工或已知的恶意网络(例如,Tor 出口节点)。
- 检查传递给 `powershell.exe` 的具体命令行参数,以查看是否存在恶意脚本或编码命令。
- 如果确认存在恶意意图,隔离主机系统以防止进一步的横向移动。
## 📂 实验室 2:通过 Windows 事件查看器进行端点安全审计
### 🔍 事件概述
- **目标:** 直接从端点分析原始 Windows 安全事件日志,以追踪身份验证异常并识别主机级别的入侵指标 (IoC)。
- **平台/工具:** Windows 事件查看器 (`eventvwr.msc`)、Windows 安全日志审计。
- **调查的关键事件 ID:**
- `4625` (审核失败 - 登录尝试失败)
- `4624` (审核成功 - 成功登录)
- `4688` (审核成功 - 已创建新进程)
### 🛠️ 主机级日志分类工作流
当在端点上直接调查潜在主机入侵时,分析 Windows 安全事件的原始属性对于确定攻击时间线至关重要:
1. **分析身份验证失败 (`事件 ID 4625`):**
检查失败的登录日志,以查看主体安全 ID 和登录类型。高频生成事件 4625 有助于隔离针对特定机器账户的暴力破解或撞库尝试。
2. **验证登录成功 (`事件 ID 4624`):**
将失败尝试的确切时间戳与随后的成功登录进行关联。在多次失败后确认一次“审核成功”表明账户可能已被入侵。
3. **审计后利用活动 (`事件 ID 4688`):**
跟踪成功会话后立即创建的新进程。审计目标系统日志以查找生成的进程(如 `Splunkd` 审计基础设施等本机工具或潜在的“就地取材”二进制文件),可以洞察身份验证后执行上下文的操作。
### 📊 工作证明 (事件属性)
*以下是直接在 Windows 安全日志审计练习中捕获的原始事件属性:*
#### ❌ 事件 4625:审核失败 - 帐户未能登录
#### 事件 4624:审核成功 - 帐户已成功登录
#### ⚙️ 事件 4688:审核成功 - 已创建新进程
### 🎯 分析师心得与核心技能
- **主机与网络分析:** 掌握原始 Windows 事件属性使安全运营中心分析师能够在远程 SIEM 收集器出现盲点或验证告警逻辑有效性时,直接在端点上进行深入的取证分析。
- **关联能力:** 知道如何从原始 Windows 事件日志转换到 Splunk SPL 查询,是有效进行一级告警分类的基础能力。
### 🎯 分析师结论与复盘
- **判定:** **可疑活动 / 潜在横向移动**。成功的外部管理登录后突然进行命令行执行 (`powershell.exe` 和 `cmd.exe`) 的关联表明行为高度异常。
- **后续步骤 (分类工作流):**
- 验证外部 IP (`185.220.101.4`) 是否属于授权的 VPN/员工或已知的恶意网络(例如,Tor 出口节点)。
- 检查传递给 `powershell.exe` 的具体命令行参数,以查看是否存在恶意脚本或编码命令。
- 如果确认存在恶意意图,隔离主机系统以防止进一步的横向移动。
## 📂 实验室 2:通过 Windows 事件查看器进行端点安全审计
### 🔍 事件概述
- **目标:** 直接从端点分析原始 Windows 安全事件日志,以追踪身份验证异常并识别主机级别的入侵指标 (IoC)。
- **平台/工具:** Windows 事件查看器 (`eventvwr.msc`)、Windows 安全日志审计。
- **调查的关键事件 ID:**
- `4625` (审核失败 - 登录尝试失败)
- `4624` (审核成功 - 成功登录)
- `4688` (审核成功 - 已创建新进程)
### 🛠️ 主机级日志分类工作流
当在端点上直接调查潜在主机入侵时,分析 Windows 安全事件的原始属性对于确定攻击时间线至关重要:
1. **分析身份验证失败 (`事件 ID 4625`):**
检查失败的登录日志,以查看主体安全 ID 和登录类型。高频生成事件 4625 有助于隔离针对特定机器账户的暴力破解或撞库尝试。
2. **验证登录成功 (`事件 ID 4624`):**
将失败尝试的确切时间戳与随后的成功登录进行关联。在多次失败后确认一次“审核成功”表明账户可能已被入侵。
3. **审计后利用活动 (`事件 ID 4688`):**
跟踪成功会话后立即创建的新进程。审计目标系统日志以查找生成的进程(如 `Splunkd` 审计基础设施等本机工具或潜在的“就地取材”二进制文件),可以洞察身份验证后执行上下文的操作。
### 📊 工作证明 (事件属性)
*以下是直接在 Windows 安全日志审计练习中捕获的原始事件属性:*
#### ❌ 事件 4625:审核失败 - 帐户未能登录
#### 事件 4624:审核成功 - 帐户已成功登录
#### ⚙️ 事件 4688:审核成功 - 已创建新进程
### 🎯 分析师心得与核心技能
- **主机与网络分析:** 掌握原始 Windows 事件属性使安全运营中心分析师能够在远程 SIEM 收集器出现盲点或验证告警逻辑有效性时,直接在端点上进行深入的取证分析。
- **关联能力:** 知道如何从原始 Windows 事件日志转换到 Splunk SPL 查询,是有效进行一级告警分类的基础能力。标签:BurpSuite集成