Harish-SOC-Analyst/SOC-Bruteforce-Attack-Incident-Response-Splunk

# SOC-暴力破解攻击应急响应-Splunk 使用 Splunk SIEM（EventCode 4625）通过关联规则和调查工作流进行暴力破解攻击检测与应急响应。 1. 标题 - 使用 Splunk SIEM 进行 SMB 暴力破解攻击检测（EventCode 4625） 2. 目标 - 使用 Splunk 关联规则检测并调查针对 SMB 服务的暴力破解身份验证尝试。 3. 实验环境准备 - Kali Linux 虚拟机（攻击者） 带有 UF 的 Windows 虚拟机（目标 SMB 445） 主主机（SIEM 服务器 Splunk） 4. 事件摘要 - 攻击类型：暴力破解 目标协议：SMB (TCP 445), Logon_Type - 3 事件代码：4625 失败尝试：150+ 峰值速率：50次/分钟 源 IP：192.168.56.102（攻击者 kali vm） 目标 IP：未明确提供 目标名称：DESKTOP-973UF43 目标用户：Harsh 未观察到成功登录（无 4624） 5. 检测逻辑 (SPL) - index=* EventCode=4625 | bin _time span=1m | stats count by _time src_ip | where count > 49 （检测每分钟超过 49 次失败登录的暴力破解尝试。） 6. 分流处理 - 确认了重复的身份验证失败 验证了内部攻击者来源 验证了没有成功登录 将其归类为暴力破解活动 “根据短时间内来自单一源 IP 的重复身份验证失败（EventCode 4625），该暴力破解警报经过了分流处理并被归类为中等严重程度的事件。” 7. MITRE ATT&CK - T1110 – 暴力破解 8. 结论 - 使用 Splunk SIEM 关联规则成功检测并验证了该事件。未观察到凭证泄露的证据。

标签：免杀技术, 安全运营, 扫描框架, 暴力破解检测, 红队行动