harranayak/SIEM-Loh-Analysis-Threat-Detection-Uisng-Splunk-

# 使用 Splunk 进行 SIEM 日志分析与威胁检测 用于身份验证日志分析、暴力破解检测、异常监控、威胁狩猎以及使用 SPL 查询进行网络安全仪表板可视化的 Splunk SIEM 项目 # 用于威胁检测的 Splunk SIEM 分析 ## 概述 本项目演示了如何使用 Splunk 作为安全信息与事件管理 (SIEM) 平台来分析身份验证日志并识别潜在的网络安全威胁。分析的重点是使用 SPL (Search Processing Language) 查询和交互式仪表板来检测可疑的登录活动、暴力破解攻击、非工作时间访问以及地理位置分散的失败登录尝试。 ## 目标 * 通过重复的失败登录检测暴力破解攻击尝试。 * 识别标准工作时间之外的异常登录行为。 * 基于地理位置分析失败的登录尝试。 * 监控失败登录尝试次数过多的用户账户。 * 通过 Splunk 仪表板可视化安全事件。 * 生成可操作的安全建议以改善组织安全。 ## 数据集 本项目使用了一个包含 30,000 多次登录事件的大型身份验证日志数据集，其中包括成功和失败的登录尝试。 ## 主要功能 * 使用 SPL 查询进行暴力破解攻击检测。 * 非工作时间登录监控和异常检测。 * 基于国家的威胁分析和风险评估。 * 针对可疑活动的用户账户监控。 * 用于安全可视化的交互式仪表板。 * 包含多因素身份验证 (MFA) 和持续监控的安全建议。 ## 使用的技术 * Splunk Enterprise * SPL (Search Processing Language) * SIEM（安全信息与事件管理） * 网络安全分析 * 数据可视化与仪表板 ## 主要发现 * 识别出表明存在暴力破解攻击的重复失败登录尝试。 * 检测到在非工作时间发生的可疑登录活动。 * 发现了源自多个高风险地理区域的登录尝试。 * 突出显示了失败登录尝试过多、需要进一步调查的用户账户。 ## 学习成果 本项目提供了使用 Splunk SIEM 进行日志分析、威胁检测、安全监控、仪表板创建和事件响应的实践经验。它展示了安全运营中心 (SOC) 中用于识别和响应潜在安全威胁的实用网络安全分析技术。

标签：AMSI绕过, 威胁检测, 安全运营, 扫描框架, 红队行动