AVSS-4/SIEM-Log-Monitoring-Simulation

# SIEM日志监控与事件调查模拟 ## 概述 本项目演示了在一个受控的实验室环境中进行的模拟安全信息和事件管理（SIEM）调查。目标是分析安全日志、关联事件、识别可疑活动，并通过结构化的事件调查过程记录发现。 调查重点在于检测入侵指标、分析身份验证事件，以及评估与未经授权访问尝试相关的潜在安全风险。 本项目模拟了SOC分析师的调查工作流程，包括事件关联、时间线构建、威胁识别和基于真实安全事件数据的事件报告。 ## 项目场景 发现了一系列涉及对管理账户重复失败登录尝试的可疑身份验证事件。在这些尝试之后，记录了来自同一源IP地址的成功登录。观察到并调查了其他活动，包括权限提升、创建管理账户和访问敏感文件。 ## 目标 - 分析安全事件日志中的可疑活动。 - 执行事件关联以建立事件之间的关系。 - 构建事件时间线。 - 识别潜在的入侵指标（IOCs）。 - 评估观察到的活动的安全影响。 - 制定改进安全态势的建议。 ## 工具与技术 - 安全事件日志 - SIEM概念与事件关联 - 事件调查方法 - Microsoft Word - GitHub ## 调查工作流程 ``` Log Collection ↓ Authentication Analysis ↓ Event Correlation ↓ Timeline Construction ↓ Incident Investigation ↓ Findings & Recommendations ``` ## 主要发现 - 检测到暴力破解身份验证活动。 - 在连续身份验证失败后观察到成功登录。 - 识别出权限提升活动。 - 检测到未经授权创建管理账户。 - 观察到潜在的数据泄露指标。 ## 展示的技能 - 安全事件监控 - 日志分析 - 事件关联 - 事件调查 - 威胁检测 - 暴力破解攻击分析 - 权限提升分析 - 安全报告 - 事件文档 ## 调查证据 ### 身份验证活动  ### 权限提升活动  ### 持久化活动  ### 潜在数据泄露  ## 报告 完整的调查报告如下： [事件调查报告](report/Incident_Investigation_Report.pdf) ## 免责声明 本项目仅出于教育、研究和防御网络安全的目的，在一个模拟的实验室环境中进行。所有日志、事件和调查活动都是作为受控安全监控练习的一部分生成的。

标签：Burp Suite 替代, 请求拦截, 逆向工具, 速率限制