shrouqobaid/CyberSentinel-Splunk

GitHub: shrouqobaid/CyberSentinel-Splunk

Stars: 1 | Forks: 0

# CyberSentinel: Splunk Security Analytics ![Status](https://img.shields.io/badge/Status-Completed-brightgreen) ![Security-Lab](https://img.shields.io/badge/Project-CyberSentinel-blue) ![Tool](https://img.shields.io/badge/Tool-Splunk-blue) ![Category](https://img.shields.io/badge/Category-SOC_Investigation-red) ![Focus](https://img.shields.io/badge/Focus-Detection_Engineering-orange) # CyberSentinel Architecture +-------------------+ | Log Sources | | Windows / Sysmon | +---------+---------+ | v +-------------------+ | Splunk SIEM | | Indexing & Search | +---------+---------+ | +-----------+-----------+ | | v v +---------------+ +------------------+ | SPL Detection | | SOC Dashboard | | Correlation | | Visualization | +-------+-------+ +--------+---------+ | | +-----------+-----------+ | v +-------------------+ | Alerting Workflow | | Incident Response | +-------------------+ # Investigation Scenario

هدف المشروع هو تحويل السجلات الخام إلى Actionable Threat Intelligence عبر:

* **Detection Engineering** * **Log Analysis** * **Threat Hunting** * **SOC Monitoring** * **Alerting & Response** #

المرحلة الأولى: Recon & Data Ingestion

بدأتُ بتهيئة بيئة التحليل والتأكد من سلامة عملية Log Ingestion داخل Splunk لضمان عدم وجود أي Blind Spots أثناء التحقيق.

## Environment Setup & Source Analysis ![Setup](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/7caf20b2f4234143.png) ![Source](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/5d17786ae7234143.png)

تحليل مصادر البيانات والتأكد من تدفق السجلات بشكل صحيح داخل الـ Indexes.

## Ingestion Monitoring ![Volume](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/03f82414c2234144.png) ![Count](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0927a23aae234145.png)

التحقق من استقرار تدفق البيانات ومراقبة حجم السجلات داخل البيئة الأمنية.

المرحلة الثانية: Threat Hunting & SPL Detection

تم استخدام لغة SPL (Search Processing Language) لتحويل السجلات إلى مؤشرات واضحة تكشف سلوك المهاجم.

## Log Inspection & Failed Authentication Analysis ![Logs](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/cdf3fa1e91234146.png) ![General](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/b03ede8fb7234147.png)

تحليل سجلات Windows Event ID 4625 للكشف عن محاولات تسجيل الدخول الفاشلة واكتشاف أنماط Brute Force.

## Precision SPL Detection ![SPL](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/2425c5a28b234148.png)

إنشاء SPL Detection Logic لتحديد أكثر عناوين IP نشاطًا وربطها بالمحاولات المشبوهة.

Core SPL Detection Queries

## Brute Force Detection index=wineventlog EventCode=4625 | stats count by src_ip Account_Name | where count > 10 | sort - count ## Top Attacking IP Addresses index=wineventlog EventCode=4625 | top limit=10 src_ip ## Targeted Accounts Detection index=wineventlog EventCode=4625 | stats count by Account_Name | sort - count ## 🚨 Suspicious Login Activity Timeline index=wineventlog EventCode=4625 | timechart count by src_ip ## High Frequency Authentication Attempts index=wineventlog EventCode=4625 | bucket _time span=5m | stats count by _time src_ip | where count > 20 #

المرحلة الثالثة: Forensic Findings

بعد تحليل السجلات، بدأتُ بربط الأحداث وتحويل البيانات إلى أدلة رقمية واضحة تساعد في فهم سلوك المهاجم.

## IP Activity & Attacker Tracking ![IPs](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/2149dd1e87234148.png) ![Map](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/3fed8a75d0234149.png) ![Attacker](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f4cd41c1ee234150.png)

تحديد الـ IPs الأكثر نشاطًا وتحليل نمط الحركة الخاصة بالمهاجم.

## Targeted Accounts Analysis ![Targeted](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a212520527234151.png) ![Viz](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/94b759e7c0234151.png)

تحليل الحسابات المستهدفة وتحديد الحسابات الحساسة الأكثر تعرضًا للهجوم.

Detection & Use Cases

| Use Case | Description | |---|---| | Brute Force Detection | اكتشاف محاولات تسجيل الدخول الفاشلة المتكررة | | Suspicious Login Monitoring | مراقبة محاولات الدخول غير الطبيعية | | Threat Hunting | البحث عن أنماط هجوم داخل السجلات | | IOC Identification | استخراج مؤشرات الاختراق | | Account Abuse Detection | اكتشاف استهداف الحسابات الحساسة | | SOC Monitoring | مراقبة الأحداث الأمنية لحظيًا | | Alert Correlation | ربط التنبيهات وتحليلها | #

MITRE ATT&CK Mapping

| Technique ID | Tactic | Technique | |---|---|---| | T1110 | Credential Access | Brute Force | | T1078 | Defense Evasion | Valid Accounts | | T1059 | Execution | Command & Scripting | | T1087 | Discovery | Account Discovery | #

المرحلة الرابعة: SOC Monitoring & Incident Response

بعد اكتشاف الهجوم، تم بناء بيئة مراقبة دفاعية تسمح بالكشف المبكر عن أي نشاط مشابه مستقبلًا.

## SOC Dashboard & Alert Visualization ![Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/64ffdc2039234152.png)

بناء Dashboard تفاعلي لعرض الأنشطة الأمنية والتنبيهات بشكل لحظي.

## 🚨 Automated Alerting Workflow ![Workflow](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/7538cffd11234153.png) ![Active](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/273542fd41234153.png)

إنشاء Alerting Workflow يعمل تلقائيًا لرصد أي نشاط Brute Force وإشعار فريق الـ SOC.

## 🚨 Security Alerts ## للاطلاع على سير عمل التنبيهات وقواعد الاكتشاف، قم بزيارة مجلد [Alerts](alerts/). #

SOC Recommendations

- حظر الـ IPs المشبوهة على مستوى الـ Firewall - تفعيل سياسات Account Lockout - مراقبة محاولات Authentication الفاشلة بشكل مستمر - تفعيل Multi-Factor Authentication (MFA) - إنشاء Correlation Rules داخل Splunk - تحسين Log Retention وVisibility #

Closing the Case

تمكنت من: - اكتشاف هجوم Brute Force - تحديد الـ IPs المهاجمة - تحليل الحسابات المستهدفة - بناء Detection Logic داخل Splunk - إنشاء SOC Dashboard للمراقبة اللحظية - تفعيل Automated Alerts لتحسين سرعة الاستجابة هذا المشروع يمثل محاكاة عملية لدور Junior SOC Analyst داخل بيئة SIEM حقيقية.

# 📂 Repository Structure * **[alerts/](alerts/)** : منهجية التنبيه (Alerting Workflow) وقواعد الاكتشاف. * **[dashboards/](dashboards/)** : واجهات المراقبة المرئية (Dashboards). * **[SPL-Queries/](SPL-Queries/)** : الاستعلامات المستخدمة في تحليل Splunk. * **[screenshots/](screenshots/)** : لقطات شاشة توثق خطوات العمل. * **[README.md](README.md)** : التقرير التحليلي الشامل للمشروع. # SOC Analyst Path

هذا المشروع جزء من رحلتي في:

- SOC Analysis - Threat Hunting - Detection Engineering - SIEM Monitoring - Incident Response