dhiabargougui/splunk-soc-analysis

GitHub: dhiabargougui/splunk-soc-analysis

基于 Splunk BOTS v3 数据集的 SOC 分析实战项目，通过多场景威胁狩猎调查和规范化事件响应报告展示蓝队分析师的完整工作流程。

Stars: 0 | Forks: 0

# 🔍 Splunk SOC 分析实验室 ### 威胁狩猎与事件响应 — BOTS v3 数据集 [![Status](https://img.shields.io/badge/Status-Ongoing-blue?style=flat-square)](/) [![Dataset](https://img.shields.io/badge/Dataset-BOTS%20v3-orange?style=flat-square)](/) [![SIEM](https://img.shields.io/badge/SIEM-Splunk%20Enterprise-green?style=flat-square)](/) [![ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-v14-red?style=flat-square)](/) [![LinkedIn](https://img.shields.io/badge/LinkedIn-Mohamed%20Dhia%20Bargougui-0077B5?style=flat-square&logo=linkedin)](https://www.linkedin.com/in/mohamed-dhia-bargougui/)

## 目标受众招聘经理和 SOC 负责人，他们希望看到我是如何工作的——而不仅仅是我知道什么。这个 repo 中的每个文件都反映了真实的分析师工作流：提出假设、搜索日志、在多个数据源间进行追踪，并编写可供他人采取行动的报告。没有 CTF 的刷分行为。没有复制粘贴的 writeup。这是对第一天 SOC 工作的模拟。 ## 环境 | 组件 | 详情 | |---|---| | SIEM | Splunk Enterprise（本地实例） | | 数据集 | Boss of the SOC (BOTS) v3 — Splunk 的蓝队训练数据集 | | 日志源 | Sysmon · WinEventLog · Suricata IDS · Stream · Fortigate · Apache · Osquery | | 框架 | MITRE ATT&CK v14 | | 操作系统 | Windows 11 | ## 调查 | # | 场景 | 威胁类型 | 状态 | Notebook | 报告 | |---|---|---|---|---|---| | 01 | Web 应用程序攻击 | SQLi · Webshell · C2 | 🔄 进行中 | [笔记](investigations/01-web-attack.md) | [IR-001](reports/IR-001_Web_Attack.md) | | 02 | 勒索软件爆发 | 横向移动 · 加密 | 🔄 进行中 | [笔记](investigations/02-ransomware.md) | [IR-002](reports/IR-002_Ransomware.md) | | 03 | 内部威胁 | 数据准备 · DNS 外泄 | 🔄 进行中 | [笔记](investigations/03-insider-threat.md) | [IR-003](reports/IR-003_Insider_Threat.md) | ## 本 repo 的组织结构 ``` splunk-soc-analysis/ │ ├── investigations/ # Analyst notebooks — raw findings written in real time │ ├── 01-web-attack.md │ ├── 02-ransomware.md │ └── 03-insider-threat.md │ ├── reports/ # Formal IR reports — structured, polished, job-ready │ ├── IR-001_Web_Attack.md │ ├── IR-002_Ransomware.md │ ├── IR-003_Insider_Threat.md │ └── executive-summary.md │ ├── queries/ # SPL query library — annotated and reusable │ ├── web_attack.spl │ ├── ransomware.spl │ └── insider_threat.spl │ ├── dashboards/ # Splunk dashboard screenshots │ └── screenshots/ │ └── assets/ # Attack timelines and supporting visuals ``` **investigations/** — 非正式的工作笔记。包含查询、死胡同、追踪方向、时间戳。是在狩猎过程中编写的，而不是事后补充的。 **reports/** — 正式的事件响应报告。包含执行摘要、攻击时间线、IOC 表格、MITRE 映射和建议。这些是最终的交付成果。 **queries/** — 每次调查中使用的所有 SPL 查询，并附有关于其搜索目标及返回结果的注释。 ## 展示的技能 - **SPL** — 日志关联、统计分析、IOC 提取、子搜索 - **威胁狩猎** — 跨多个日志源的假设驱动调查 - **事件响应** — 完整的 IR 生命周期：检测 → 分诊 → 分析 → 遏制 → 报告 - **日志分析** — Windows 事件日志、Sysmon、网络 IDS、Web 服务器日志、防火墙日志 - **MITRE ATT&CK** — 将观察到的 TTP 映射到战术和技术 - **技术写作** — 撰写同时面向技术分析师和非技术利益相关者的 IR 报告 ## 报告结构 `/reports` 中的每份正式报告均遵循以下格式： ``` Executive Summary Timeline of Events Attack Narrative IOCs Identified SPL Queries Used MITRE ATT&CK Mapping Recommendations ``` → [浏览所有报告](reports/)

**Mohamed Dhia Bargougui** SOC 分析师 · 事件响应 · 蓝队 [![LinkedIn](https://img.shields.io/badge/Connect-LinkedIn-0077B5?style=flat-square&logo=linkedin)](https://www.linkedin.com/in/mohamed-dhia-bargougui/) *所有数据均来自 Splunk 提供的公开 BOTS v3 数据集，仅供训练之用。不涉及任何真实的组织数据。*

标签：CISA项目, Cloudflare, IP 地址批量处理, MITRE ATT&CK, PE 加载器, 安全运营, 库, 应急响应, 扫描框架