murattkarateke/soc-threat-hunting-lab
GitHub: murattkarateke/soc-threat-hunting-lab
一个基于Splunk Enterprise的SOC威胁狩猎实验室,通过模拟真实攻击演练SIEM检测、SPL开发与安全事件响应。
Stars: 0 | Forks: 0
\# 高级 SOC 威胁狩猎实验室
---
\# 🇹🇷 土耳其语
\# 📌 关于项目
本项目是一个专业的 SOC(安全运营中心)威胁狩猎实验室,旨在模拟真实世界的攻击场景,并使用 Splunk Enterprise 进行日志分析。
项目内容包括:
- SSH 暴力破解攻击
- Web 攻击模拟
- 强制浏览活动
- 侦察扫描
- 威胁狩猎分析
- SPL 查询开发
- 仪表盘创建
- 安全日志关联
所有攻击仅在与教育及防御研究相关的受控实验环境中执行。
---
\# 🎯 项目目标
- 执行 SIEM 日志分析
- 开发威胁狩猎工作流
- 实践检测工程
- 创建 SPL 检测查询
- 构建安全仪表盘
- 检测 SSH 暴力破解攻击
- 分析侦察活动
- 监控 Web 攻击
- 关联安全事件
- 模拟 SOC 分析师工作流
---
\# 🛠 使用技术
| 技术 | 说明 |
|---|---|
| Splunk Enterprise | SIEM 与日志分析 |
| Ubuntu Server | 目标系统 |
| Kali Linux | 攻击模拟环境 |
| SSH | 认证监控 |
| Nmap | 侦察扫描 |
| FFUF | 强制浏览攻击 |
| SQLMap | SQL 注入测试 |
| Nikto | Web 漏洞扫描 |
---
\# 🔍 已执行的威胁狩猎场景
\## 🔐 SSH 暴力破解检测
- 失败登录分析
- 攻击者 IP 识别
- 目标用户分析
- 时间线关联
- 认证事件监控
\## 🌐 Web 攻击检测
- SQL 注入测试
- 强制浏览检测
- Web 枚举分析
- 可疑 HTTP 请求监控
- Web 攻击关联
\## 🛰 侦察检测
- Nmap 扫描活动
- 端口扫描行为分析
- 网络发现监控
- 侦察事件关联
\## ⚠ 权限监控
- Sudo 活动检测
- Root 会话监控
- 特权命令分析
- 可疑管理活动检测
---
\# 📂 项目结构
```
soc-threat-hunting-lab/
│
├── attack-simulations/
│ ├── ffuf-forced-browsing.md
│ ├── nikto-scan.md
│ ├── nmap-reconnaissance.md
│ └── sqlmap-testing.md
│
├── reports/
│ └── detection-summary.md
│
├── screenshots/
│ ├── brute-force-detection/
│ ├── dashboard/
│ ├── privilege-monitoring/
│ ├── reconnaissance-detection/
│ ├── threat-hunting-analysis/
│ └── web-attack-detection/
│
├── splunk-queries/
│ ├── attacker-ip-analysis.spl
│ ├── attack-timeline.spl
│ ├── brute-force-detection.spl
│ ├── reconnaissance-detection.spl
│ ├── sudo-activity-monitoring.spl
│ ├── targeted-user-analysis.spl
│ └── web-attack-detection.spl
│
└── README.md
```
---
\# 📸 仪表盘与检测截图
\## 🔥 SSH 暴力破解检测
\### 失败登录时间线分析
!\[攻击时间线](screenshots/threat-hunting-analysis/21-splunk-attack-timeline.png)
\### 目标用户分析
!\[目标用户](screenshots/threat-hunting-analysis/22-splunk-targeted-user-analysis.png)
\### 攻击者 IP 分析
!\[攻击者 IP](screenshots/threat-hunting-analysis/23-splunk-attacker-ip-analysis.png)
---
\## 🌐 Web 攻击检测
\### FFUF 强制浏览模拟
!\[FFUF](screenshots/web-attack-detection/24-ffuf-forced-browsing-attack.png)
\### Web 攻击关联
!\[Web 检测](screenshots/web-attack-detection/19-splunk-web-attack-detection.png)
---
\## 🛰 侦察检测
\### Nmap 侦察执行
!\[Nmap](screenshots/reconnaissance-detection/26-Nmap-Reconnaissance-Attack-Execution.png)
\### 网络侦察检测分析
!\[侦察检测](screenshots/reconnaissance-detection/27-Network-Reconnaissance-Detection-Analysis.png)
---
\## ⚠ 权限活动监控
\### 可疑 Sudo 活动检测
!\[Sudo 活动](screenshots/privilege-monitoring/28-Suspicious-Sudo-Activity-Detection.png)
---
\## 📊 威胁狩猎仪表盘
\### SOC 威胁狩猎仪表盘
!\[仪表盘](screenshots/dashboard/29-soc-threat-hunting-dashboard.png)
---
\# 📈 SPL 检测查询
本项目包含自定义 SPL 检测查询,用于:
- SSH 暴力破解检测
- 失败登录关联
- 时间线分析
- 攻击者 IP 监控
- 目标用户分析
- 侦察检测
- Web 攻击检测
- 特权活动监控
---
\# 🧩 MITRE ATT\&CK 映射
| 技术 | ATT\&CK ID |
|---|---|
| 暴力破解 | T1110 |
| 主动扫描 | T1595 |
| 网络服务扫描 | T1046 |
| 有效账户 | T1078 |
| 利用面向公众的应用 | T1190 |
| 命令与脚本解释器 | T1059 |
---
\# 🛡 展现的安全技能
- SIEM 监控
- 威胁狩猎
- 检测工程
- SPL 查询开发
- 日志分析
- 事件关联
- 仪表盘可视化
- 事件调查
- 认证监控
- 网络侦察检测
---
\# 📚 学习成果
本项目在以下领域展现了实践经验:
- SOC 运营
- 威胁狩猎方法论
- Splunk SPL 开发
- 检测工程
- 日志分析
- 仪表盘开发
- SSH 安全监控
- Web 攻击分析
-侦察检测
- SIEM 调查工作流
---
\# 🇺🇸 英语
\# 📌 关于项目
本项目是一个专业的 SOC 威胁狩猎实验室,专注于模拟真实世界的攻击场景,并使用 Splunk Enterprise SIEM 进行分析。
项目内容包括:
- SSH 暴力破解攻击
- Web 攻击模拟
- 强制浏览活动
- 侦察扫描
- 威胁狩猎调查
- SPL 查询开发
- 仪表盘创建
- 安全事件关联
所有攻击严格在受控实验环境中执行,仅用于防御性安全研究和教育目的。
---
\# 🎯 目标
- 执行 SIEM 日志分析
- 开发威胁狩猎工作流
- 实践检测工程
- 创建 SPL 检测查询
- 构建安全仪表盘
- 检测 SSH 暴力破解攻击
- 分析侦察活动
- 监控 Web 攻击
- 关联安全事件
- 模拟 SOC 分析师工作流
---
\# 🛠 使用的技术
| 技术 | 用途 |
|---|---|
| Splunk Enterprise | SIEM 与日志分析 |
| Ubuntu Server | 目标系统 |
| Kali Linux | 攻击模拟环境 |
| SSH | 认证监控 |
| Nmap | 侦察扫描 |
| FFUF | 强制浏览攻击 |
| SQLMap | SQL 注入测试 |
| Nikto | 漏洞扫描 |
---
\# 🔍 威胁狩猎场景
\## 🔐 SSH 暴力破解检测
- 失败登录分析
- 攻击者 IP 识别
- 目标用户分析
- 时间线关联
- 认证事件监控
\## 🌐 Web 攻击检测
- SQL 注入测试
- 强制浏览检测
- Web 枚举分析
- 可疑 HTTP 请求监控
- Web 攻击关联
\## 🛰 侦察检测
- Nmap 扫描活动
- 端口扫描行为分析
- 网络发现监控
- 侦察事件关联
\## ⚠ 权限监控
- Sudo 活动检测
- Root 会话监控
- 特权命令分析
- 可疑管理活动检测
---
\# 📂 项目结构
```
soc-threat-hunting-lab/
│
├── attack-simulations/
├── reports/
├── screenshots/
├── splunk-queries/
└── README.md
```
---
\# 📸 仪表盘与检测截图
\## 🔥 SSH 暴力破解检测
\### 失败登录时间线分析
!\[攻击时间线](screenshots/threat-hunting-analysis/21-splunk-attack-timeline.png)
\### 目标用户分析
!\[目标用户](screenshots/threat-hunting-analysis/22-splunk-targeted-user-analysis.png)
\### 攻击者 IP 分析
!\[攻击者 IP](screenshots/threat-hunting-analysis/23-splunk-attacker-ip-analysis.png)
---
\## 🌐 Web 攻击检测
\### FFUF 强制浏览模拟
!\[FFUF](screenshots/web-attack-detection/24-ffuf-forced-browsing-attack.png)
\### Web 攻击关联
!\[Web 检测](screenshots/web-attack-detection/19-splunk-web-attack-detection.png)
---
\## 🛰 侦察检测
\### Nmap 侦察执行
!\[Nmap](screenshots/reconnaissance-detection/26-Nmap-Reconnaissance-Attack-Execution.png)
\### 网络侦察检测分析
!\[侦察检测](screenshots/reconnaissance-detection/27-Network-Reconnaissance-Detection-Analysis.png)
---
\## ⚠ 权限活动监控
\### 可疑 Sudo 活动检测
!\[Sudo 活动](screenshots/privilege-monitoring/28-Suspicious-Sudo-Activity-Detection.png)
---
\## 📊 威胁狩猎仪表盘
\### SOC 威胁狩猎仪表盘
!\[仪表盘](screenshots/dashboard/29-soc-threat-hunting-dashboard.png)
---
\# 📈 SPL 检测查询
本项目包含自定义 SPL 检测查询,用于:
- SSH 暴力破解检测
- 失败登录关联
- 时间线分析
- 攻击者 IP 监控
- 目标用户分析
- 侦察检测
- Web 攻击检测
- 特权活动监控
---
\# 🧩 MITRE ATT\&CK 映射
| 技术 | ATT\&CK ID |
|---|---|
| 暴力破解 | T1110 |
| 主动扫描 | T1595 |
| 网络服务扫描 | T1046 |
| 有效账户 | T1078 |
| 利用面向公众的应用 | T1190 |
| 命令与脚本解释器 | T1059 |
---
\# 🛡 展现的安全技能
- SIEM 监控
- 威胁狩猎
- 检测工程
- SPL 查询开发
- 日志分析
- 事件关联
- 仪表盘可视化
- 事件调查
- 认证监控
- 网络侦察检测
---
\# 📚 学习成果
本项目展现了以下领域的实践经验:
- SOC 运营
- 威胁狩猎方法论
- Splunk SPL 开发
- 检测工程
- 日志分析
- 仪表盘开发
- SSH 安全监控
- Web 攻击分析
- 侦察检测
- SIEM 调查工作流
---
\# ⚠ 免责声明
本项目严格创建用于:
- 教育目的
- 防御性安全研究
- 授权实验室测试
未涉及任何未经授权的系统。
---
\# 截图 / 屏幕截图
\## 实验环境搭建 / 实验室环境
\### Kali Linux 攻击机
!\[Kali Linux 攻击机](screenshots/lab-setup/01-kali-attacker-machine.png)
\### Ubuntu 目标服务器
!\[Ubuntu 目标服务器](screenshots/lab-setup/02-ubuntu-victim-server.jpeg)
\### 监控栈与开放服务
!\[监控栈](screenshots/lab-setup/03-open-services-and-monitoring-stack.jpeg)
\### 目标 Web 应用
!\[目标 Web 应用](screenshots/lab-setup/04-target-web-application.png)
\# 侦察检测 / 侦察攻击检测
\### Nmap 激进扫描执行
!\[Nmap 激进扫描](screenshots/reconnaissance-detection/05-nmap-aggressive-scan.png)
\### Nmap 侦察攻击执行
!\[Nmap 侦察执行](screenshots/reconnaissance-detection/26-nmap-reconnaissance-attack-execution.png)
\### 网络侦察检测分析
!\[网络侦察分析](screenshots/reconnaissance-detection/27-network-reconnaissance-detection-analysis.png)
\# Web 攻击检测 / Web 攻击检测
\### FFUF 目录枚举攻击
!\[FFUF 枚举](screenshots/web-attack-detection/06-ffuf-directory-enumeration.png)
\### Nikto Web 漏洞扫描
!\[Nikto 扫描](screenshots/web-attack-detection/16-web-vulnerability-scan-nikto.png)
\### SQL 注入 Payload 测试
!\[SQL 注入 Payload](screenshots/web-attack-detection/17-sql-injection-payload-test.png)
\### SQLMap 注入评估
!\[SQLMap 评估](screenshots/web-attack-detection/18-sqlmap-injection-assessment.png)
\### Splunk Web 攻击检测分析
!\[Splunk Web 攻击检测](screenshots/web-attack-detection/19-splunk-web-attack-detection.png)
\### Splunk 403 响应可视化
!\[Splunk 403 可视化](screenshots/web-attack-detection/20-splunk-403-visualization.png)
\### FFUF 强制浏览攻击
!\[FFUF 强制浏览](screenshots/web-attack-detection/24-ffuf-forced-browsing-attack.png)
\# 暴力破解检测 / 暴力破解攻击检测
\### Hydra SSH 暴力破解攻击
!\[Hydra SSH 暴力破解](screenshots/brute-force-detection/07-hydra-ssh-bruteforce-attack.png)
\### Wazuh SSH 攻击事件
!\[Wazuh SSH 事件](screenshots/brute-force-detection/08-wazuh-ssh-attack-events.png)
\### Wazuh 暴力破解事件分析
!\[Wazuh 暴力分析](screenshots/brute-force-detection/09-wazuh-bruteforce-event-analysis.png)
\### Splunk SSH 暴力破解搜索
!\[Splunk SSH 暴力破解搜索](screenshots/brute-force-detection/11-splunk-ssh-bruteforce-search.png)
\### Splunk 暴力破解来源分析
!\[Splunk 暴力破解来源分析](screenshots/brute-force-detection/12-splunk-bruteforce-source-analysis.png)
\### Splunk 成功认证事件
!\[Splunk 成功认证](screenshots/brute-force-detection/13-splunk-successful-authentication-events.png)
\### Splunk 攻击者 IP 统计(TOP)
!\[Splunk 攻击者 IP TOP](screenshots/brute-force-detection/14-splunk-top-attacker-ip-statistics.png)
\### Splunk 暴力破解可视化
!\[Splunk 暴力破解可视化](screenshots/brute-force-detection/15-splunk-bruteforce-visualization.png)
\### Splunk 目标用户分析
!\[Splunk 目标用户分析](screenshots/brute-force-detection/22-splunk-targeted-user-analysis.png)
\### SSH 暴力破解时间线分析
!\[SSH 暴力破解时间线](screenshots/brute-force-detection/25-ssh-bruteforce-attack-timeline-analysis.png)
\# 威胁狩猎分析 / 威胁狩猎分析
\### MITRE ATT\&CK 暴力破解映射
!\[MITRE 映射](screenshots/threat-hunting-analysis/10-mitre-attack-bruteforce-mapping.png)
\### Splunk 攻击时间线分析
!\[Splunk 攻击时间线](screenshots/threat-hunting-analysis/21-splunk-attack-timeline.png)
\### Splunk 攻击者 IP 分析
!\[Splunk 攻击者 IP 分析](screenshots/threat-hunting-analysis/23-splunk-attacker-ip-analysis.png)
\# 权限监控 / 权限监控
\### 可疑 Sudo 活动检测
!\[可疑 Sudo 活动](screenshots/privilege-monitoring/28-suspicious-sudo-activity-detection.png)
\# SOC 仪表盘 / SOC 仪表盘
\### SOC 威胁狩猎仪表盘
!\[SOC 仪表盘](screenshots/dashboard/29-soc-threat-hunting-dashboard.png)
\# 👨💻 作者
Murat Karateke
- SOC 分析师
- 威胁狩猎
- 检测工程
- SIEM 监控
- Splunk 安全分析
标签:CISA项目, CTI, FFUF, MISP, Nikto, Nmap, PoC, SPL查询, SQLMap, SSH, TGT, Web攻击, 仪表板, 侦察扫描, 内存分配, 威胁情报, 安全实验室, 安全运营中心, 开发者工具, 强制浏览, 插件系统, 攻击模拟, 攻防演练, 数据展示, 日志关联, 暴力破解, 红队, 网络安全, 网络映射, 虚拟驱动器, 隐私保护, 驱动签名利用