Harish-SOC-Analyst/Port-Scan-Detection-Incident-Response-Splunk

# SOC-端口扫描检测与事件响应-Splunk 使用 Splunk SIEM 结合 Windows 防火墙日志和 Nmap 攻击模拟进行端口扫描检测与事件响应。 标题 - 使用 Splunk SIEM 进行端口扫描检测 目标 - 在 Splunk 中利用 Windows 防火墙日志，检测并调查来自 Kali Linux 攻击机针对 Windows 目标机的潜在端口扫描活动。 实验环境准备 - Kali Linux 虚拟机（攻击者） 配备 UF 的 Windows 虚拟机（目标） 主机（SIEM 服务器 Splunk） 事件摘要 - 攻击类型：端口扫描 / 网络服务发现 源 IP：192.168.56.102（Kali 攻击虚拟机） 目标 IP：192.168.56.101（Windows 受害虚拟机） 检测到的唯一目标端口：16 观察到的端口：123, 135, 137, 138, 139, 1900, 445, 49664, 49665, 49666, 49667, 49668, 49669, 5040, 5355, 7680 检测来源：接入到 Splunk 的 Windows 防火墙日志 事件状态：真正例 - 授权的实验模拟 严重程度：中 原因： 未发现漏洞利用或成功的入侵。活动仅限于侦察。 检测逻辑 (SPL) - index=firewall | stats dc(dest_port) as dest_ports values(dest_port) by src_ip | where dest_ports > 10 | sort -dest_ports 检测条件： 单个源 IP 与超过 10 个唯一目标端口进行通信。 研判 - 确认源 IP 192.168.56.102 为 Kali 攻击机。 验证目标 IP 192.168.56.101 为 Windows 受害机。 观察到同一源 IP 联系了多个目标端口。 在 Splunk 中审查了 Windows 防火墙日志。 将该活动归类为可能的端口扫描 “根据实验环境中单个源 IP 联系的多个目标端口，端口扫描告警经过研判并被归类为中等严重程度的事件。” MITRE ATT&CK - T1046 – 网络服务发现 事件响应 - 将告警验证为真正例。 确认该活动为授权的实验测试。 审查了允许和丢弃的防火墙连接。 检查了后续漏洞利用或登录尝试的迹象。 建议如果在生产环境中未经授权观察到此活动，则封锁该源 IP。 如果扫描之后发生了暴力破解、漏洞利用或横向移动，则需要升级处理。 结论 - 使用 Nmap 成功模拟了端口扫描活动，并利用 Windows 防火墙日志在 Splunk 中进行了检测。源 IP 192.168.56.102 联系了 Windows 目标机上的 16 个唯一目标端口，表明存在网络服务发现行为。该事件被验证为真正例的授权实验模拟。

标签：CTI, PB级数据处理, 安全运维, 安全运营中心, 插件系统, 网络映射