JB-163/Splunk-SOC-Home-Lab

# Splunk SOC 家庭实验室 一个使用 Splunk Enterprise、Sysmon 和 MITRE ATT&CK 验证的攻击模拟构建的家庭安全运营中心 (SOC) 实验室，旨在模拟真实世界的威胁检测。 ## 实验室环境 | 组件 | 详情 | |-----------|---------| | SIEM | Splunk Enterprise (开发者许可证) | | 端点监控 | Sysmon | | 日志来源 | Windows 安全、系统、应用程序、Sysmon | | 攻击模拟 | Invoke-AtomicRedTeam | | 检测框架 | MITRE ATT&CK | | 宿主操作系统 | Windows 11 | | 虚拟机 | Windows 10 (VirtualBox) | ## 构建的仪表板 ### 仪表板 1 — 登录失败与暴力破解监控器 监控跨所有主机的身份验证事件，以检测暴力破解攻击和可疑的登录模式。 | 面板 | 检测逻辑 | EventCode | |-------|----------------|-----------| | 登录失败时间轴 | 4625 事件的每小时时间图表 | 4625 | | 受攻击最多的账户 | 失败次数最多的账户 | 4625 | | 按来源分类的登录失败 | 源工作站分析 | 4625 | | 暴力破解告警 | 失败次数达 10 次以上的账户 | 4625 | ### 仪表板 2 — 进程创建与可疑执行监控器 监控端点进程活动，以检测恶意软件执行、可疑的父子关系以及罕见的进程启动。 | 面板 | 检测逻辑 | EventCode | |-------|----------------|-----------| | 进程时间轴 | 每小时进程创建量 | Sysmon 1 | | 可疑路径执行 | 来自 Temp/Downloads/AppData 的进程 | Sysmon 1 | | 父子进程异常 | Office/浏览器生成 shell | Sysmon 1 | | 罕见进程执行 | 运行次数少于 3 次的进程 | Sysmon 1 | ## 攻击模拟 — MITRE ATT&CK 验证 | # | 技术 | 战术 | 工具 | 结果 | |---|-----------|--------|------|--------| | 1 | T1059.001 — PowerShell 执行 | 执行 | 通过 Atomic Red Team 运行 Mimikatz | 已检测 | | 2 | T1082 — 系统信息发现 | 发现 | Atomic Red Team | 已检测 | 详情请见 [攻击模拟报告](reports/ATTACK_SIMULATION_REPORT.md) ## 检测查询 此项目中使用的所有 SPL 查询均记录在此处：[检测查询](queries/detection_queries.md) ## 展示的核心技能 - Splunk SPL 查询编写和仪表板创建 - Windows 事件日志分析 (Security, Sysmon) - Sysmon 部署和配置 - MITRE ATT&CK 技术检测和映射 - 使用 Invoke-AtomicRedTeam 进行攻击模拟 - 事件检测文档和报告 - 暴力破解检测逻辑 - 进程执行异常检测 - 父子进程关系分析 - 使用罕见进程频率分析进行威胁狩猎 ## 截图 所有证据截图均存放在 [screenshots](screenshots/) 文件夹中。 ## 项目结构 ``` splunk-soc-home-lab/ ├── README.md ├── queries/ │ └── detection_queries.md ├── reports/ │ └── ATTACK_SIMULATION_REPORT.md └── screenshots/ └── [all evidence screenshots] ```

标签：SOC实验室, 安全运营, 扫描框架, 攻击模拟, 无线安全, 红队行动, 驱动签名利用