patricelachelle/SIEM-Log-Analysis-Lab

GitHub: patricelachelle/SIEM-Log-Analysis-Lab

基于Splunk Cloud的Windows安全日志分析实验室,用于模拟入侵事件响应。

Stars: 0 | Forks: 0

# 云端SIEM分诊实验室 本项目展示了我是如何使用Splunk Cloud来调查模拟的Windows入侵,从原始日志摄取到攻击者时间线重建、受侵害账户识别和恶意PowerShell分析。 对于招聘人员和招聘团队,这个实验室展示了实用的SOC分析师技能:日志分诊、SPL查询编写、身份验证事件分析、事件范围界定、MITRE ATT&CK映射和简洁的安全报告。 ## 项目快照 | 区域 | 详情 | | --- | --- | | 角色 | SOC分析师/威胁猎人 | | 平台 | Splunk Cloud平台 | | 数据源 | JSON格式的Windows安全事件日志 | | 被调查的主机 | `WIN-SERVER-2026` | | 关键事件ID | `4625`、`4624`、`4104` | | 结果 | 确认了凭证喷射活动,识别了受侵害账户,并去混淆了受侵害后的PowerShell活动 | ## 本项目展示的内容 - 在SIEM中摄取和验证端点安全遥测数据 - 编写SPL查询以隔离可疑的身份验证模式 - 关联失败的登录、成功的登录和PowerShell执行 - 跟踪从初始访问到利用后行为的入侵 - 将技术发现转化为简洁、可操作的事后补救步骤 ## 调查摘要 ### 1. 验证了原始遥测数据的摄取 我将`attack_logs.json`导入Splunk Cloud,验证了字段提取,并确认日志可搜索且时间对齐,以便分析。 ### 2. 检测到凭证喷射活动 使用Windows失败的登录事件(`EventCode=4625`),我识别了与单个源IP相关的重复身份验证失败,表明是暴力破解或凭证喷射行为。 ### 3. 确认了成功的侵害 我从失败的登录转向成功的登录(`EventCode=4624`),并确认攻击者IP `192.168.10.45`使用登录类型3成功认证到`service_account`,建立了初始访问。 ### 4. 调查了侵害后的活动 我审查了PowerShell脚本块日志(`EventCode=4104`),并识别了一个使用`Net.WebClient`和`IEX`从`badactor.xyz`下载和执行远程有效载荷的恶意命令,表明了命令和控制阶段和内存执行。 ## 关键发现 - 源IP `192.168.10.45`对多个用户产生了重复的失败登录 - 受侵害账户是`service_account` - 成功访问发生在`2026-05-31 22:16:22` - 攻击者使用PowerShell获取和执行远程有效载荷 - 行为与暴力破解、初始访问和基于PowerShell的执行技术一致 ## 使用的SPL查询 ### 失败登录分析 ``` source="attack_logs.json" EventCode=4625 | stats count by IpAddress, TargetUserName ``` ### 成功登录确认 ``` source="attack_logs.json" EventCode=4624 IpAddress="192.168.10.45" | table _time, TargetUserName, LogonType ``` ### PowerShell执行审查 ``` source="attack_logs.json" EventCode=4104 | table _time, User, ScriptBlockText ``` ## MITRE ATT&CK对齐 | 战术/技术 | 相关性 | | --- | --- | | `TA0001` 初始访问 | 攻击者IP的成功认证建立了入侵 | | `T1110` 暴力破解 | 重复的失败登录表明了凭证喷射或密码猜测 | | `T1059.001` PowerShell | 攻击者执行PowerShell以拉取和运行远程有效载荷 | ## 截图 ### 在Splunk中验证原始遥测数据 ![在Splunk中验证原始遥测数据](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/ac703fa08d031746.png) 此视图确认源数据已正确摄取并可用于调查。 ### 失败登录统计 ![在Splunk中失败登录统计](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d0770c26d8031747.png) 此查询突出了攻击者IP和在凭证喷射阶段被针对的用户账户。 ### 成功登录验证 ![在Splunk中成功登录验证](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f84933ad61031748.png) 此结果隔离了成功的侵害并确定了受影响的账户。 ### PowerShell执行审计 ![在Splunk中PowerShell执行审计](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a1efea9c13031749.png) 此输出捕获了用于事后有效载荷交付的恶意PowerShell执行。 ## 建议 1. 重置并轮换`service_account`的凭证,然后审查其权限。 2. 阻止来自`192.168.10.45`的入站活动,并拒绝与`badactor.xyz`的出站通信。 3. 除非明确需要,否则限制服务账户的远程网络登录。 4. 启用或保留PowerShell日志,并对可疑的`IEX`、隐藏窗口或网络下载模式发出警报。 ## 招聘人员总结 此项目反映了在初级或中级SOC角色中预期的工作类型:将原始安全遥测数据转化为可防御的事件叙述,快速识别攻击者行为,并传达清晰的补救步骤,以便安全团队可以采取行动。
标签:AI合规, BurpSuite集成