omkar-SOC/SOC-Web-Attack-Detection-Threat-Hunting-Splunk

# 使用 Splunk Enterprise 进行 SOC Web 攻击检测与威胁狩猎 ## 概述 本项目展示了一个安全运营中心 (SOC) 的使用案例，使用 Splunk Enterprise 对常见的 Web 应用攻击进行检测、监控、调查和响应。 从 XAMPP 环境生成的 Apache Web 服务器日志被接入到 Splunk 中进行分析，以识别恶意活动，例如： * SQL Injection * 目录遍历 * 暴力破解攻击 该项目模拟了真实世界中的 SOC 分析师职责，包括日志分析、威胁狩猎、检测工程、仪表板开发、事件调查和升级。 ## 架构 ``` User Requests ↓ Apache Web Server (XAMPP) ↓ Apache Access Logs ↓ Splunk Enterprise ↓ Detection Rules ↓ Alerts & Dashboards ↓ SOC Analyst Investigation ↓ Incident Escalation ``` ## 使用的技术 * Splunk Enterprise * Apache Web Server (XAMPP) * SPL (Search Processing Language) * Apache 访问日志 * Windows 环境 ## 检测用例 ### SQL Injection 检测 检测： * SQL Injection payload * 对 index.php 的可疑请求 * 自动化测试工具，例如 sqlmap ### 目录遍历检测 检测： * /etc/passwd 访问尝试 * /windows/win.ini 请求 * 编码遍历模式 ### 暴力破解检测 检测： * 重复的 login.php 请求 * 身份验证滥用尝试 * 可疑的请求量 ## 威胁狩猎活动 ### 来源分析 识别产生可疑活动的源 IP。 ### 目标分析 调查受到最多攻击的 URL 和资源。 ### 时间线分析 跨时间关联攻击活动，以识别高峰和模式。 ### IOC 调查 已调查的指标： * /etc/passwd * /windows/win.ini * sqlmap User-Agent * /login.php ## 仪表板可视化 ### SOC 仪表板  ### KPI 卡片  ### 攻击类型分布  ### 攻击时间线  ### 顶级源 IP  ### 顶级受攻击 URL  ## 事件响应 在识别出多个 Web 攻击指标后，生成了 SOC L1 紧急事件报告 (IIR)。 该报告包括： * 事件摘要 * IOC 分析 * 影响评估 * 执行的操作 * 建议 * 升级至 L2 位置： ``` Incident_Reports/ ``` ## 展现的技能 * SIEM 操作 * Splunk Enterprise * 日志分析 * 威胁狩猎 * 检测工程 * 告警工程 * 仪表板开发 * 事件调查 * 事件响应 * IOC 分析 * 安全监控 * SPL 查询开发 * SOC 运营 ## 未来增强 * MITRE ATT&CK 映射 * 威胁情报集成 * Splunk Enterprise Security * SOAR 集成 * 基于风险的告警 ## 注意事项 * 仪表板统计信息、攻击计数和调查结果可能会因接入的日志数据、生成的攻击流量以及所选的搜索时间范围而异。 * 本仓库中包含的仪表板可视化是使用 Splunk Enterprise 中的**所有时间**数据生成的。 * 诸如总事件数、攻击分布、顶级源 IP、顶级受攻击 URL 和时间线分析等指标，基于项目执行期间可用的数据集。 * 本项目在受控的实验室环境中进行，使用了 Apache Web 服务器日志和模拟的攻击活动，出于教育和网络安全学习目的。 ## 作者 Omkar Shinde 有志成为 SOC 分析师 | 网络安全分析师 LinkedIn： https://www.linkedin.com/in/omkar-shinde-897207212

标签：BurpSuite集成, CISA项目, SOC分析, Web攻击检测, 告警工程, 安全运营, 库, 应急响应, 扫描框架