tyashkumar/SOC-Analyst-L1-splunk-Projects

# SOC分析师L1 - Splunk项目 ## 概述 本存储库包含使用Splunk Enterprise和Windows安全事件日志样本数据集执行的网络安全运营中心（SOC）检测和调查项目。 这些项目旨在模拟现实世界SOC分析师L1的工作流程，包括威胁检测、日志分析、事件调查以及使用公开可用的培训和样本日志数据执行MITRE ATT&CK映射。 ## 使用工具 * Splunk Enterprise * Windows安全事件日志样本数据 * MITRE ATT&CK框架 ## 应用场景 | 事件ID | 检测用例 | 状态 | | -------- | ---------------------------------- | ----------- | | 4798 | 本地组成员枚举 | 完成 | | 4625 | 失败登录检测 | 完成 | | 4672 | 特权登录检测 | 完成 | | 4688 | 进程创建监控 | 完成 | | 4624 | 成功登录 | 完成 | ## 展示的技能 * 安全监控 * 日志分析 * 威胁狩猎 * 事件调查 * 检测工程 * Splunk SPL开发 * MITRE ATT&CK映射 ## 威胁情报 - [威胁情报报告](./Threat-Intelligence-Reports) - 将TI源（AlienVault，MISP）与Splunk日志集成。 ## 作者 Yash Kumar SOC分析师L1学习组合

标签：BurpSuite集成