abhinavkishor9/Splunk-SOC-Lab-02-Apache-Web-Log-Analysis

GitHub: abhinavkishor9/Splunk-SOC-Lab-02-Apache-Web-Log-Analysis

基于 Splunk 和 Apache 访问日志的 SOC 实战实验,教授 Web 流量基线分析与威胁狩猎技能。

Stars: 0 | Forks: 0

# Splunk-SOC-Lab-02-Apache-Web-Log-分析 ## 概述 本实验演示了如何使用 Splunk 搜索处理语言 (SPL) 分析 Apache HTTP 访问日志。 目标是建立正常 Web 流量的基线,同时识别可能表明针对公网 Web 服务器的侦察活动、Web 扫描或攻击尝试的异常模式。 # 实验环境 - Windows 10/11 主机 - Splunk Enterprise - Search & Reporting App - Apache Access Log 数据集 # 场景 SOC 团队已成功将 Apache Web 服务器日志接入 Splunk。 管理层要求对 Web 流量进行安全审查,以识别可疑活动并在创建安全检测之前建立基线。 作为 SOC 分析师,您的任务是使用 SPL 分析日志并识别值得关注的发现。 # 目标 - 分析 Apache 访问日志 - 学习基础 SPL 查询 - 识别高频客户端 IP 地址 - 识别频繁请求的 URL - 分析 HTTP 方法 - 分析 HTTP 状态码 - 随时间可视化 Web 流量 - 威胁狩猎可疑请求 # MITRE ATT&CK 映射 | 技术 | 描述 | |------------|------------| | T1595 | 主动扫描 (Active Scanning) | | T1190 | 利用面向公众的应用 (Exploit Public-Facing Application) | | T1071.001 | 应用层协议:Web 协议 (Application Layer Protocol: Web Protocols) | # 严重程度 **低** 本实验侧重于基线流量分析和威胁狩猎。 # 检测逻辑 ## 潜在的 Web 侦察 ``` index=main | top clientip ``` ## 频繁的 404 错误 ``` index=main status=404 | stats count by clientip ``` ## 潜在的登录探测 ``` index=main "/login" ``` ## 潜在的后台页面访问 ``` index=main "/admin" ``` # 误报 - 搜索引擎爬虫 - 内部漏洞扫描器 - 健康监控系统 - 请求不可用页面的合法用户 - 自动化网站索引服务 # 建议的遏制措施 审查源 IP 地址,验证请求模式,如有必要启用 Web 应用防火墙 (WAF) 防护,并在确认可疑活动后封禁恶意 IP。 # 步骤 1:统计总事件数 运行: ``` index=main | stats count ``` # 步骤 2:查看示例事件 运行: ``` index=main | head 20 ``` 观察 Apache 日志结构和可用字段。 # 步骤 3:识别高频客户端 IP 地址 运行: ``` index=main | top clientip ``` 如果 `clientip` 字段不可用: ``` index=main | top host ``` # 步骤 4:识别高频请求的 URL 运行: ``` index=main | top uri_path ``` 如果 `uri_path` 字段不可用: ``` index=main | top uri ``` # 步骤 5:分析 HTTP 方法 运行: ``` index=main | top method ``` 审查数据集中观察到的 HTTP 方法。 # 步骤 6:分析 HTTP 状态码 运行: ``` index=main | top status ``` 审查常见的响应代码,包括: - 200 - 301 - 302 - 403 - 404 - 500 # 步骤 7:随时间可视化流量 运行: ``` index=main | timechart count ``` 将结果显示为折线图以观察流量模式。 # 步骤 8:调查 404 错误 运行: ``` index=main status=404 ``` 统计事件数: ``` index=main status=404 | stats count ``` # 步骤 9:调查 500 内部服务器错误 运行: ``` index=main status=500 ``` 审查任何返回的事件。 # 步骤 10:威胁狩猎敏感 URL 访问 运行: ``` index=main ("/admin" OR "/login" OR "/config" OR "/backup") ``` 审查任何匹配的事件以发现可疑活动。 # 展示的技能 - Splunk Enterprise - Splunk 搜索处理语言 (SPL) - SIEM 调查 - Apache 日志分析 - Web 流量分析 - 威胁狩猎 - 安全监控 - 基线分析 # 经验总结 本实验提升了对以下内容的理解: - Apache 访问日志分析 - SPL 基础知识 - HTTP 流量分析 - 威胁狩猎方法论 - 基线建立 - 安全监控 - SOC 调查工作流 - 检测开发基础
标签:CISA项目, SOC分析, 子域枚举, 安全培训, 密码管理, 网络安全, 隐私保护