abhinavkishor9/splunk-soc-lab-03-apache-reconnaissance-detection

GitHub: abhinavkishor9/splunk-soc-lab-03-apache-reconnaissance-detection

基于 Splunk 的 SOC 实战实验,通过 SPL 查询和 Apache 日志分析检测 Web 侦察活动,培养安全分析师的威胁狩猎与检测工程能力。

Stars: 0 | Forks: 0

# splunk-soc-lab-03-apache-reconnaissance-检测 ## 概述 本实验演示了如何使用 Splunk 搜索处理语言(SPL)检测 Apache HTTP 访问日志中的侦察活动。 侦察通常是攻击生命周期的第一阶段。攻击者在尝试漏洞利用之前,通常会扫描 Web 服务器以寻找隐藏页面、管理界面、备份文件和易受攻击的应用程序。 本实验的目标是识别可疑的 Web 活动,并培养基础的威胁狩猎和检测工程技能。 # 实验环境 - Windows 10/11 主机 - Splunk Enterprise - Search & Reporting App - Apache 访问日志数据集 # 场景 SOC 团队观察到 Web 服务器活动有所增加,并怀疑外部攻击者可能正在对面向公众的 Web 应用程序进行侦察。 作为 SOC 分析师,您的任务是分析 Apache 访问日志,并确定是否存在扫描或枚举活动的证据。 # 目标 - 检测 Web 侦察活动 - 识别来自同一 IP 的重复请求 - 调查过多的 404 错误 - 检测对敏感资源的请求 - 分析流量峰值 - 使用 SPL 开发检测逻辑 - 培养威胁狩猎技能 # MITRE ATT&CK 映射 | 技术 | 描述 | |------------|------------| | T1595 | 主动扫描 (Active Scanning) | | T1590 | 收集受害者网络信息 (Gather Victim Network Information) | | T1190 | 利用面向公众的应用程序 (Exploit Public-Facing Application) | # 严重性 **中** 侦察活动通常是漏洞利用尝试的先兆,应进行调查。 # 检测逻辑 ## 请求最多的 IP 地址 ``` index=main | stats count by clientip | sort -count ``` ## 来自同一 IP 的过多请求 ``` index=main | stats count by clientip | where count > 100 ``` ## 多个 404 错误 ``` index=main status=404 | stats count by clientip | sort -count ``` ## 对管理页面的请求 ``` index=main "/admin" ``` ## 对登录页面的请求 ``` index=main "/login" ``` ## 对备份文件的请求 ``` index=main ("/backup" OR ".bak") ``` ## 对配置文件的请求 ``` index=main ("/config" OR ".conf") ``` ## 流量时间轴分析 ``` index=main | timechart count ``` # 误报 - 搜索引擎爬虫 - 内部漏洞扫描器 - 监控服务 - 授权的渗透测试 - 内部管理员 # 建议的遏制措施 调查源 IP,验证请求模式,阻止已确认的恶意主机,启用 WAF 防护,并查看其他日志以寻找相关活动。 # 步骤 1:统计总事件数 ``` index=main | stats count ``` # 步骤 2:识别请求最多的 IP 地址 ``` index=main | stats count by clientip | sort -count ``` # 步骤 3:识别高频访问的客户端 ``` index=main | stats count by clientip | where count > 100 ``` # 步骤 4:调查 404 错误 ``` index=main status=404 | stats count by clientip | sort -count ``` # 步骤 5:狩猎对管理页面的访问 ``` index=main "/admin" ``` # 步骤 6:狩猎对登录页面的访问 ``` index=main "/login" ``` # 步骤 7:狩猎备份文件 ``` index=main ("/backup" OR ".bak") ``` # 步骤 8:狩猎配置文件 ``` index=main ("/config" OR ".conf") ``` # 步骤 9:分析流量趋势 ``` index=main | timechart count ``` # 步骤 10:关联调查结果 审查: - 请求最多的 IP - 高频访问的客户端 - 404 活动 - 敏感 URL 访问 - 流量峰值 - 侦察的总体证据 # 展示的技能 - Splunk SPL - 威胁狩猎 - 检测工程 - Web 日志分析 - SIEM 调查 - 安全监控 - Apache 日志分析 # 经验教训 本实验提升了对以下方面的理解: - Web 侦察技术 - 主动扫描检测 - 威胁狩猎方法论 - 检测逻辑开发 - SPL 聚合命令 - SOC 调查工作流
标签:Apache, CISA项目, GitHub, SOC实验室, SPL, 密码管理