MuhammadHashamBehlum/siem-log-analysis-foundations

# SIEM 与日志分析基础 – 检测安全事件 **编写者：** Mohammad Hesham Wazir Ali Behlum **大学：** 罗切斯特理工学院 (RIT) 迪拜分校 **专业：** 网络安全理学学士 ## 概述 本代码库包含了为 2026 年 Sohail Smart Solutions 暑期培训项目中“SIEM 与日志分析基础”作业所完成的工作。 本次练习的目的是分析安全日志，识别可疑事件，并记录可能需要安全运营中心 (SOC) 团队进行排查的潜在安全威胁。 通过这个项目，我查看了样本安全日志，识别了可疑活动的指标，记录了关键发现，并推荐了 SOC 分析师在调查过程中可以采取的响应措施。 ## 代码库结构 ### sample-logs/ * 分析期间使用的示例身份验证和安全日志文件。 ### notes/ * 调查笔记、观察结果和事件分析。 ### screenshots/ * 展示日志分析证据和发现的截图。 ### report/ * 最终的 SIEM 和日志分析报告。 ## 调查的关键安全事件 1. 来自同一 IP 地址的多次失败登录尝试。 2. 在多次身份验证失败后成功登录。 3. 未经授权的权限提升活动。 4. 网络侦察和端口扫描行为。 ## 展示的技能 * 日志分析 * 安全事件检测 * 威胁识别 * 安全监控 * 事件响应基础 * 安全运营中心 (SOC) 调查技术 * 安全文档编写与报告 ## 工具与概念 * 安全信息与事件管理 (SIEM) * 日志分析 * 安全监控 * 身份验证事件分析 * 权限提升检测 * 网络侦察检测 * 安全事件调查 * 威胁检测与响应 ## 学习成果 这项作业帮助我加深了对安全团队如何监控系统、分析日志以及实时识别潜在威胁的理解。它还提供了实践经验，让我了解了如何将原始日志数据转化为可操作的安全发现，从而支持事件响应和安全决策。

标签：Gobuster, 子域枚举, 安全事件检测, 安全运营(SOC)