snehakomati/SOC-threat-monitoring-dashboard

# SOC威胁监控仪表板 使用ELK Stack进行安全日志分析、威胁检测和可视化的SOC威胁监控仪表板。 # 使用ELK Stack的SOC威胁监控仪表板 ## 概述 本项目展示了部署和配置ELK Stack（Elasticsearch和Kibana）环境以实现集中日志收集、安全监控和威胁可视化的过程。 创建了一个类似安全运营中心（SOC）风格的仪表板，用于分析认证事件、检测可疑登录活动，并通过交互式Kibana仪表板可视化安全相关数据。 ## 项目目标 - 在Ubuntu Linux上部署Elasticsearch和Kibana - 摄入和管理安全日志数据 - 在Kibana中创建自定义可视化 - 监控认证事件和用户活动 - 识别失败的登录尝试和可疑的访问模式 - 构建集中的SOC监控仪表板 ## 使用的技术 - Elasticsearch - Kibana - ELK Stack - Ubuntu Linux - Linux CLI - JSON - 数据可视化 ## 架构 ``` Security Logs │ ▼ Elasticsearch │ ▼ Kibana │ ▼ SOC Dashboard & Visualizations ``` ## 仪表板组件 ### 1. 登录成功与失败分析 跟踪认证结果，帮助识别： - 失败的登录尝试 - 可能的暴力破解攻击 - 未授权的访问尝试 ### 2. 国家分布分析 可视化安全事件的地理分布。 提供以下见解： - 登录活动的来源位置 - 可疑的外国访问尝试 - 威胁情报监控 ### 3. 用户名分布分析 显示目标用户账户的频率。 帮助识别： - 经常被攻击的用户 - 高风险账户 - 认证趋势 ## 截图 ### 登录成功与失败图表  ### 国家分布图表  ### 用户名分布图表  ### 最终SOC仪表板  ## 关键发现 - 检测并可视化了多次失败的登录尝试。 - 成功地将认证事件索引到Elasticsearch中。 - 分析了登录事件的地理分布。 - 识别了用户账户的活动模式。 - 集中监控提高了对潜在安全威胁的可见性。 ## 展示的技能 ### 安全运营 - 安全监控 - 威胁检测 - 日志分析 - 事件调查 ### SIEM & 监控 - Elasticsearch - Kibana - 仪表板开发 - 数据可视化 ### Linux管理 - 服务管理 - 日志管理 - 命令行操作 ## 项目工作流程 1. 安装并配置了Elasticsearch。 2. 安装并配置了Kibana。 3. 将Kibana连接到Elasticsearch。 4. 创建了安全日志数据集。 5. 将日志索引到Elasticsearch中。 6. 在Kibana中创建了数据视图。 7. 使用Kibana Lens构建可视化。 8. 开发了SOC风格的监控仪表板。 9. 分析了认证事件和安全趋势。 ## 未来改进 - 集成Filebeat进行实时日志收集。 - 部署Wazuh进行端点监控。 - 配置警报和通知。 - 实现威胁狩猎仪表板。 - 集成MITRE ATT&CK映射。 - 构建自动检测规则。

标签：AMSI绕过, Elasticsearch, ELK Stack, Homebrew安装, JSON, Mutation, SOAR, 可视化, 地理分布分析, 威胁检测, 威胁监测, 安全事件响应, 安全信息与事件管理, 安全合规, 安全态势感知, 安全情报, 安全日志, 安全运营中心, 异常检测, 搜索引擎爬取, 用户活动监控, 登录分析, 网络代理, 网络映射, 越狱测试, 速率限制