Nouman-J-Nizami/Splunk-Final-Project

## Splunk 日志分析与威胁狩猎调查 ## 概述 本项目展示了使用 Splunk Enterprise 进行完整日志分析和威胁狩猎的工作流程。此次调查基于 `tutorialdata.zip` 数据集进行，重点关注识别可疑的身份验证活动、分析成功和失败的 SSH 登录、调查恶意源 IP 地址以及检测 HTTP 500 Web 服务器错误。 ## 目标 本项目的主要目标是： * 在 Splunk 中导入并验证数据集。 * 识别可用的日志源和 sourcetype。 * 调查失败的 SSH 身份验证尝试。 * 分析特定用户 (`djohnson`) 的成功 SSH 登录。 * 调查来自可疑 IP 地址的重复登录失败情况。 * 识别导致多次身份验证失败的 IP。 * 检测并分析 HTTP 500 Internal Server Error 事件。 ## 关键活动 * 在 `example` 索引中进行数据摄取和验证。 * Sourcetype 识别和日志源探索。 * 使用 SPL 查询进行 SSH 身份验证分析。 * 调查暴力破解和密码猜测活动。 * 源 IP 提取和频率分析。 * Web 服务器错误调查。 * 针对最受攻击目标用户账户的额外威胁狩猎。 * 基于调查结果的威胁评估和安全建议。 ## 调查结果 调查揭示了以下内容： * 109,864 个已索引事件。 * 多次与暴力破解活动一致的失败 SSH 身份验证尝试。 * 与用户 `djohnson` 关联的成功 SSH 会话。 * 几个导致大量失败登录的外部 IP 地址。 * 对 `root`、`administrator` 和 `admin` 等特权账户的重复攻击。 * Web 服务器日志中的 781 个 HTTP 500 Internal Server Error 事件。 ## 展示技能 * Splunk Enterprise * SPL (Search Processing Language) * 日志分析 * 威胁狩猎 * SSH 身份验证调查 * 安全事件监控 * 事件分类筛选 * 网络安全报告 ## 作者 **Nouman (Javed) Nizami** 网络安全分析师 – Epicode

标签：SPL, 安全运营, 扫描框架, 红队行动