ayinkamiyeassia0-glitch/siem-detection-lab
GitHub: ayinkamiyeassia0-glitch/siem-detection-lab
一个基于 Splunk 的实操型 SIEM 检测实验室,通过模拟真实 SOC 工作流程,提供覆盖完整检测生命周期的示例数据、检测规则和应急响应 playbook。
Stars: 0 | Forks: 0
# SIEM 检测实验室
一个实操性的 Splunk 检测工程实验室,旨在模拟真实的 SOC 工作流程:
钓鱼调查、VPN 身份验证异常检测、数据防泄漏
(DLP) 分诊,以及恶意软件遏制。每一项检测都附带了示例数据、
SPL 搜索、匹配的 [Sigma](https://github.com/SigmaHQ/sigma) 规则以及
应急响应 playbook。
该实验室的目标是展示真实的网络安全团队中发生的完整检测生命周期:**日志源 → 检测逻辑 → 告警 → 分诊
→ 响应**。
## 为什么要有这个项目
大多数“SIEM 教程”仅仅停留在运行一次搜索上。在真实的 SOC 中,只有当分析师能够对检测结果采取行动时,该检测才是有用的。因此,本仓库中的每一项检测都回答了
四个问题:
1. **这能捕获什么威胁?**(映射到 MITRE ATT&CK 的行为)
2. **我们如何检测它?**(SPL + 可移植的 Sigma 规则)
3. **我们如何确认它是真实的?**(分诊步骤、检查内容、误报说明)
4. **我们该如何应对?**(应急响应 playbook)
## 仓库结构
```
siem-detection-lab/
├── detections/
│ ├── phishing/ # Malicious email IOCs, attachment + link analysis
│ ├── vpn-auth/ # Impossible travel, brute force, off-hours auth
│ ├── dlp/ # Data exfiltration and policy-violation alerts
│ └── malware/ # Suspicious process + persistence behavior
├── data/
│ └── sample-logs/ # Synthetic logs you can ingest into Splunk to test
├── playbooks/ # Step-by-step IR runbooks (phishing, malware, DLP)
├── dashboards/ # Splunk dashboard (Simple XML) for SOC monitoring
├── scripts/ # Helper scripts (log generator, IOC enrichment)
└── setup/ # How to stand up Splunk free + ingest the data
```
## MITRE ATT&CK 覆盖范围
| 检测 | 技术 | ID |
|-----------|-----------|----|
| 钓鱼链接/附件 | Phishing | T1566 |
| VPN 暴力破解 | Brute Force | T1110 |
| 不可能旅行 | Valid Accounts | T1078 |
| DLP 大量出站传输 | Exfiltration Over C2/Web | T1041 / T1567 |
| 可疑进程创建 | Command and Scripting Interpreter | T1059 |
| 注册表 Run-key 持久化 | Boot or Logon Autostart Execution | T1547.001 |
## 快速开始
1. 安装 Splunk Free(参见 [`setup/README.md`](setup/README.md))。
2. 生成或加载示例数据:`python scripts/generate_sample_logs.py`。
3. 将来自 `data/sample-logs/` 的日志摄取到 `lab` 索引中。
4. 打开任意检测文件夹,并针对该索引运行 SPL。
5. 浏览匹配的 playbook,了解分析师将如何进行响应。
## 展示的技能
- Splunk (SPL) 和 Sigma 中的检测工程
- 钓鱼分析:邮件头、附件和 URL 分诊
- 身份验证异常检测(暴力破解、不可能旅行)
- DLP 告警分诊和数据外泄检测
- 应急响应 runbook 设计
- MITRE ATT&CK 映射
- 基于 Python 的轻量级安全自动化
## 免责声明
本仓库中的所有日志均为**合成的**。不包含任何真实的用户数据、主机名或 IP
地址。本实验室仅用于学习和演示目的。
# siem-detection-lab
标签:DNS 反向解析, Sigma规则, URL发现, 安全检测, 安全运营, 库, 应急响应, 扫描框架, 目标导入, 逆向工具