VikashChoudhary-04/brute-force-detection

# 暴力破解检测项目 ## 概述 - 本项目演示了一个专注于识别暴力破解身份验证活动的安全运营中心 (SOC) 检测工程工作流程，使用了： - Splunk SPL - Windows 安全事件日志 - Sigma 规则 - MITRE ATT&CK 映射 - 身份验证遥测分析 - SOC 调查方法论 - 本项目模拟了安全运营中心分析师或检测工程师的工作流程： 1. 监控身份验证失败尝试 2. 检测暴力破解行为 3. 调查身份验证异常 4. 构建检测逻辑 5. 分析可疑登录模式 6. 专业地记录发现 ## 目标 ### 主要目标 - 检测可能表明以下情况的身份验证活动： - 暴力破解攻击 - 密码喷洒攻击 - 凭证填充攻击 - 重复针对特定账户 - 身份验证滥用 ## 使用的技术 | 技术 | 用途 | | :--- | :--- | | Splunk Free | SIEM 平台 | | Windows 事件日志 | 身份验证遥测 | | SPL | 检测查询语句 | | Sigma | 可移植的检测规则 | | MITRE ATT&CK | 威胁映射 | ## MITRE ATT&CK 映射 | 技术 | ID | 战术 | | :--- | :--- | :--- | | 暴力破解 | T1110 | 凭证访问 | | 有效账户 | T1078 | 防御规避 | ## 使用的 Windows 事件 ID | 事件 ID | 描述 | | :--- | :--- | | 4625 | 登录失败 | | 4624 | 登录成功 | | 4672 | 特权登录 | ## 检测目标 - 本项目专注于检测： - 过多的登录失败 - 重复针对特定账户 - 登录次数激增 - 可疑的身份验证模式 - 多次失败后的成功登录 ## Splunk 检测查询示例 ``` index=main "4625" | stats count by Account | where count > 5 | sort - count ``` ## 检测工程概念 - 本项目探讨了： * 身份验证监控 * 基于阈值的检测 * 基于时间的关联 * 暴力破解检测逻辑 * SOC 分诊方法论 * 威胁狩猎工作流 ## Sigma 检测示例 ``` title: Excessive Failed Login Attempts description: Detects repeated failed authentication attempts that may indicate brute force activity. logsource: product: windows service: security detection: selection: EventID: 4625 condition: selection level: medium ``` ## 调查工作流程 1. 审查登录失败事件 2. 识别被针对的账户 3. 分析身份验证时间 4. 调查失败后的成功登录 5. 确定严重性 6. 上报可疑活动 ## 误报 - 潜在的良性原因： * 密码错误 * 凭证过期 * VPN 身份验证问题 * 配置错误的服务 * 用户登录失误 ## 展示的 SOC 技能 * Splunk 日志分析 * 检测工程基础 * 身份验证监控 * SPL 查询开发 * Sigma 规则创建 * ATT&CK 映射 * SOC 调查工作流 * 威胁狩猎基础 ## 未来改进 潜在的增强功能包括： * 源 IP 关联 * 密码喷洒检测 * MFA 故障监控 * 告警自动化 * 时间窗口检测 * 威胁情报集成 ## 项目状态 - 这是一个活跃的安全运营中心检测工程学习项目，专注于身份验证威胁检测和暴力破解监控。 ## 截图 ### 登录失败检测  ### 登录失败时间线  ### 成功登录关联  ### 特权登录监控  ### 可疑进程狩猎 

标签：AMSI绕过, Cloudflare, MITRE ATT&CK, Sigma 规则, SOC 分析, SPL 查询, Windows 事件日志, 免杀技术, 凭证填充, 域名分析, 失败登录分析, 威胁检测, 安全事件监控, 安全信息与事件管理, 安全日志分析, 安全调查, 安全运营中心, 密码喷洒, 搜索引擎爬取, 时间相关性, 暴力破解检测, 登录模式分析, 红队行动, 网络安全, 网络映射, 认证安全, 认证监控, 账户瞄准, 阈值检测, 隐私保护