Aditi-207/soc-monitoring-lab

使用 Splunk Enterprise 的 SOC 监控实验室 概述： 本项目展示了使用 Splunk Enterprise 和 Windows 安全事件日志实现安全运营中心 (SOC) 监控实验室的过程。 工具： - Splunk Enterprise - Windows Event Viewer - Sysmon 已实现的用例： - 登录失败监控 (Event ID 4625) - 登录成功监控 (Event ID 4624) - 管理员权限监控 (Event ID 4672) - 登录失败趋势分析 - 登录失败次数最多的账户 产出物： - SOC Dashboard - 事件报告 - 项目笔记 作者： Aditi Shelar 项目状态： 已完成 ## 仪表盘截图  未来增强功能： - 将 Sysmon 日志接入 Splunk - 功能 - Windows 安全事件日志收集 - 登录失败检测 (Event ID 4625) - 登录成功监控 (Event ID 4624) - 管理员权限监控 (Event ID 4672) - 登录失败趋势分析 - 事件调查工作流 - Sysmon 端点遥测集成 - PowerShell 活动监控 - 进程创建监控 - 自定义检测规则 - 告警自动化 - 仪表盘预览 此仪表盘在 Splunk Enterprise 中构建，用于监控 Windows 身份验证事件和安全活动。 关键监控事件： - Event ID 4624 – 成功登录 - Event ID 4625 – 失败登录 - Event ID 4672 – 分配特殊权限

标签：Sysmon, Windows事件日志, 安全运营, 扫描框架