cyberbryanzhang/splunk-soc-detection-lab

# Splunk SOC 检测与 SSH 暴力破解实验室 ## 概述 本项目使用 Docker 容器构建了一个小型的 SOC 风格实验室，以模拟 SSH 认证活动并检测可疑的登录行为。 ## 实验环境 - 主机：macOS - 攻击者：Kali Linux Docker 容器 - 受害者：Ubuntu Docker 容器 - 网络：隔离的 Docker 桥接网络 - 服务：TCP 端口 22 上的 OpenSSH ## 场景 Kali 容器尝试使用错误的密码对 Ubuntu 受害者进行多次 SSH 登录，之后成功登录一次。 ## 检测目标 通过统计源 IP 的失败登录尝试次数来识别潜在的 SSH 暴力破解行为。 ## 检测结果 源 IP `172.18.0.2` 生成了 10 次失败的 SSH 登录尝试和 1 次接受的登录。Python 检测脚本将其标记为潜在的暴力破解活动。 ## 截图 ### 图 1：原始 SSHD 日志事件  ### 图 2：过滤后的认证事件  ### 图 3：Python 检测警报输出  ## 展示的技能 - 基于 Docker 的网络安全实验室设置 - SSH 认证日志收集 - Python 日志解析 - 暴力破解检测逻辑 - SOC 风格的调查文档 - Splunk SPL 检测准备 ## 下一步 - 将 `sshd_lab.log` 导入 Splunk - 创建用于失败和成功登录的 SPL 搜索 - 构建 Splunk 仪表板 - 将仪表板截图添加到仓库

标签：Brute-force, Docker, Docker 容器, OpenSSH, Python, SPL 搜索, SSH, 安全仪表盘, 安全响应, 安全实验室, 安全调查, 安全防御评估, 攻击模拟, 无后门, 日志收集, 日志解析, 网络安全, 网络隔离, 证书伪造, 请求拦截, 逆向工具, 隐私保护, 驱动签名利用