mattiapertusati/SPLUNK-SOC-LAB

# 🛡️ 检测工程与安全运营分析师作品集 欢迎来到我的检测工程实践项目！ 在这个仓库中，我从零开始构建了一个基于DetectionLab的实验室环境，用于模拟真实的攻击场景，收集集中化的遥测数据，并在Splunk中开发防御逻辑。 ## 🚀 项目概述 本项目的目标是展示在安全运营中心（SOC）和蓝队操作中的实践技能。我重新创建了整个防御生命周期：从日志基础设施的工程，到执行攻击，再到编写警报和仪表板。 **展示的技能：** * **SIEM与日志管理：** 配置和使用Splunk Enterprise。 * **Windows安全：** 分析Windows事件日志、Sysmon和Windows事件转发（WEF）。 * **威胁检测：** 开发基于MITRE ATT&CK框架技术的SPL高级查询。 * **检测即代码：** 通过配置文件（`savedsearches.conf`）管理警报。 * **数据可视化：** 创建交互式仪表板（XML）以快速进行分类。 ## 📂 仓库结构 我将项目组织成清晰的模块，以方便导航。点击单个文件夹以探索详细信息： * [**`/detections`**](./detections/): 包含10个安全用例的详细文档。对于每个威胁，我已映射EventCode、MITRE技术和必要的SPL查询以识别它。 * [**`/alerts`**](./alerts/): 包含自动化Splunk检测（检测即代码）的`savedsearches.conf`文件，将查询转换为具有特定操作的计划警报。 * [**`/dashboards`**](./dashboards/): 包含为L1分析师创建的运营仪表板源代码（`SOC_Overview.xml`），包括指标、饼图和攻击时间线。 * [**`/infrastructure`**](./infrastructure/): 包含关于网络基础设施、日志流和环境Vagrant/VirtualBox测试图标的文档。 ## ⚔️ 模拟的威胁 在实验室中，我成功模拟并检测了以下恶意活动： 1. 执行**PowerShell加密**（Base64）。 2. 创建**本地用户**以实现持久化。 3. **权限提升**（添加到Administrators组）。 4. 禁用**Windows Defender**。 5. 创建恶意**计划任务**。 6. 内存**LSASS**转储（提取凭证）。 7. 通过**PsExec**进行横向移动。 8. 修改**防火墙规则**（Netsh）。 9. **日志清除**（删除痕迹 / EventCode 1102）。 10. 通过`tscon`实用程序进行**RDP会话劫持**。 ## 🛠️ 使用工具 * **虚拟化：** Vagrant，Oracle VirtualBox * **操作系统：** Windows 10，Windows Server 2016 * **遥测与SIEM：** Splunk Enterprise，Windows事件转发器，Sysmon * **框架：** MITRE ATT&CK