lalithvardhan434/splunk-siem-homelab

# 🛡️ Splunk SIEM 家庭实验室 ## 📋 概述 一个功能完备的 SOC 家庭实验室，展示了完整的检测周期： **攻击执行 → 日志生成 → SIEM 接入 → 告警触发 → 调查** 每个组件都镜像了生产 SOC 环境中使用的工具。 **构建者：** Lalith Vardhan Boddala | 网络安全理学硕士 **目标：** 针对 SOC Analyst L1 职位的作品集项目 ## 🏗️ 架构 ``` MacBook Air M2 ├── Splunk Enterprise (native) ← SIEM │ receives logs on port 9997 │ IP: SIEM_SERVER └── Kali Linux (UTM) ← ATTACKER IP: KALI_ATTACKER Windows PC (VirtualBox) └── Windows 10 VM ← VICTIM Sysmon v15 (endpoint telemetry) Splunk Universal Forwarder → 192.168.29.191:9997 IP: WINDOWS_TARGET All machines on same WiFi subnet (192.168.29.x) ``` ## ⚙️ 实验室组件 | 组件 | 主机 | 角色 | |---|---|---| | Splunk Enterprise 10.4 | MacBook M2 (原生) | SIEM — 日志聚合、检测、告警 | | Sysmon v15 | Windows 10 VM | Endpoint 遥测 — 进程、网络、文件事件 | | Splunk Universal Forwarder | Windows 10 VM | 通过 TCP 9997 将日志发送至 Mac Splunk | | Kali Linux (UTM) | MacBook M2 | 攻击模拟 — Nmap、Metasploit | ## ⚔️ 执行的攻击 | 攻击 | 工具 | MITRE 技术 | 检测 | 事件 ID | |---|---|---|---|---| | 网络端口扫描 | Nmap | T1046 — 网络服务发现 | Sysmon EventCode=1 | — | | SMB 暴力破解 | Metasploit smb_login | T1110 — 暴力破解 | Windows 安全日志 | 4625 | | 账户锁定 | Metasploit smb_login | T1110.001 — 密码猜测 | Windows 安全日志 | 4740 | ## 🔍 SPL 检测查询 ### T1110 — 暴力破解检测 ``` index=main source="WinEventLog:Security" EventCode=4625 | stats count by Account_Name, host | where count > 5 | sort -count ``` **结果：** 检测到 `administrator` — 10 次失败登录尝试 ### T1110.001 — 账户锁定 ``` index=main source="WinEventLog:Security" EventCode=4740 | table _time, Account_Name, host ``` **结果：** administrator 账户于 2026-06-09 16:17:40 在主机: windows 上被锁定 ### T1046 — 端口扫描检测 ``` index=main source="C:\\Windows\\System32\\winevt\\Logs\\Microsoft-Windows-Sysmon%4Operational.evtx" EventCode=3 | stats dc(DestinationPort) as ports_scanned by SourceIp | where ports_scanned > 10 | sort -ports_scanned ``` ## 📊 证据 | 文件 | 描述 | |---|---| | `splunk-security-eventcodes.png` | 涵盖 13 个事件代码的 392 个安全事件 | | `splunk-bruteforce-4625.png` | 检测到 administrator — 10 次失败登录 | | `splunk-accountlockout-4740.png` | 精确时间戳下的账户锁定事件 | | `kali-metasploit-smb-bruteforce.png` | 来自 Kali 的实时 Metasploit 暴力破解 | ## 🗂️ 仓库结构 ``` splunk-siem-homelab/ ├── README.md ├── architecture/ │ └── lab-diagram.png ├── detection-rules/ │ ├── T1110-brute-force.spl │ ├── T1110-account-lockout.spl │ └── T1046-port-scan.spl ├── attack_simulations/ │ ├── nmap-port-scan-T1046.md │ └── metasploit-smb-T1110.md └── screenshots/ ├── splunk-security-eventcodes.png ├── splunk-bruteforce-4625.png ├── splunk-accountlockout-4740.png └── kali-metasploit-smb-bruteforce.png ``` ## 🎯 展示的技能 `Splunk SPL` `Sysmon` `Log Forwarding` `MITRE ATT&CK` `Brute Force Detection` `Account Lockout Detection` `Nmap` `Metasploit` `Windows Event Logs` `Alert Triage` `Network Segmentation` `VirtualBox` `UTM`

标签：CTI, PFX证书, SOC实验室, 插件系统, 攻击检测, 红队行动, 网络安全, 隐私保护