ChaitanyaTi/Splunk-SIEM-Threat-Detection-Lab

# Splunk SIEM 威胁检测实验室 ## 项目概述 本项目演示了如何使用 Splunk Enterprise 实现安全信息和事件管理（SIEM）解决方案。该实验室模拟了真实世界的安全运营中心（SOC）环境，从存在漏洞的 Linux 服务器收集日志，并在 Splunk 中进行集中化处理和分析，以用于安全监控、威胁检测和事件调查。 该项目涵盖了端到端的日志收集、身份验证监控、SSH 和 FTP 活动分析、权限提升检测、仪表板开发、告警创建，以及使用 Splunk 搜索处理语言（SPL）进行威胁狩猎。 ## 目标 * 使用 Splunk Enterprise 构建集中式日志管理解决方案 * 配置 Linux 系统的 Syslog 转发 * 监控身份验证和登录活动 * 检测暴力破解攻击和失败的登录尝试 * 监控 FTP 访问和身份验证事件 * 检测权限提升活动 * 创建用于安全监控的自定义仪表板 * 针对可疑活动生成告警 * 使用 SPL 查询执行威胁狩猎 * 模拟 SOC 分析师工作流 ## 实验架构 ``` +-----------------------+ | Kali Linux | | Attacker Machine | | 192.168.142.128 | +-----------+-----------+ | | | SSH / FTP / Login Attempts | v +-----------------------+ | Metasploitable 2 | | Victim Server | | 192.168.142.135 | +-----------+-----------+ | | | Syslog Forwarding | UDP Port 514 | v +-----------------------+ | Splunk Enterprise | | SIEM Server | | 192.168.142.133 | +-----------------------+ ``` ## 实验环境 ### 虚拟化平台 ``` VMware Workstation Pro ``` ### 使用的机器 | 机器 | 角色 | IP 地址 | | ----------------- | ----------------- | --------------- | | Kali Linux | 攻击模拟 | 192.168.142.128 | | Metasploitable 2 | 漏洞目标 | 192.168.142.135 | | Splunk Enterprise | SIEM 服务器 | 192.168.142.133 | ## 已实现的功能 ### 日志收集 * 来自 Metasploitable 的 Syslog 转发 * Splunk 中的 UDP 514 数据接入 * 集中式日志管理 ### SSH 监控 * SSH 活动监控 * 成功登录检测 * 失败登录检测 * 暴力破解攻击监控 * 源 IP 分析 ### FTP 监控 * FTP 登录监控 * VSFTPD 活动监控 * FTP 身份验证分析 * 失败的 FTP 登录检测 ### 身份验证监控 * 用户登录追踪 * 身份验证失败检测 * 访问监控 ### 权限提升监控 * sudo 活动监控 * su 命令监控 * Root 账户活动追踪 ### 威胁狩猎 * 事件调查 * 用户活动分析 * 服务监控 * 源 IP 关联 ### 仪表板开发 * Linux 安全监控仪表板 * Metasploitable 安全监控仪表板 ### 告警 * SSH 暴力破解检测告警 * 身份验证失败监控 * 权限提升监控 ## 已实现的安全用例 ### SSH 暴力破解检测 检测多次失败的 SSH 登录尝试，这可能表明存在密码猜测或暴力破解攻击。 ### 成功的 SSH 身份验证监控 追踪成功的 SSH 登录和用户访问。 ### 失败的 SSH 身份验证监控 识别失败的登录尝试和未经授权的访问尝试。 ### FTP 活动监控 监控 FTP 服务使用情况和身份验证事件。 ### 权限提升检测 检测试图通过 sudo 和 su 命令获取更高权限的尝试。 ### Root 账户监控 监控由 root 账户执行的活动。 ### 用户活动监控 追踪用户行为和与安全相关的操作。 ### 服务监控 监控产生安全事件的系统服务。 ## 检测规则 | 检测规则 | 状态 | | ------------------------------------ | ----------- | | SSH 监控 | 已实现 | | 失败的 SSH 登录检测 | 已实现 | | SSH 暴力破解检测 | 已实现 | | FTP 监控 | 已实现 | | FTP 身份验证失败检测 | 已实现 | | 身份验证监控 | 已实现 | | 权限提升检测 | 已实现 | | Root 活动监控 | 已实现 | | Sudo 活动监控 | 已实现 | | CRON 监控 | 已实现 | | 用户活动监控 | 已实现 | | 服务活动监控 | 已实现 | ## 截图 ### 日志接入 * Syslog 转发配置 * Splunk UDP 514 配置 * 日志接入验证 ### SSH 监控 * Nmap SSH 扫描 * 成功的 SSH 登录 * Splunk 中的 SSH 事件 * 失败的 SSH 登录检测 ### FTP 监控 * FTP 登录活动 * FTP 身份验证日志 * VSFTPD 监控 ### 权限提升监控 * sudo 活动 * Root 访问 * Splunk 中的权限提升检测 ### 告警 * SSH 暴力破解检测告警 * 触发的告警事件 ### 仪表板 * Linux 安全监控仪表板 * Metasploitable 安全监控仪表板 ## 关键 SPL 查询 ### 查看所有日志 ``` host=192.168.142.135 ``` ### SSH 活动 ``` host=192.168.142.135 sshd ``` ### 失败的 SSH 登录 ``` host=192.168.142.135 "Failed password" ``` ### 成功的 SSH 登录 ``` host=192.168.142.135 "Accepted password" ``` ### FTP 监控 ``` host=192.168.142.135 vsftpd ``` ### 权限提升监控 ``` host=192.168.142.135 su ``` ## 展示的技能 ### SIEM 技能 * Splunk Enterprise * SIEM 运营 * 日志管理 * 事件关联 * 安全监控 ### SOC 分析师技能 * 威胁检测 * 威胁狩猎 * 事件调查 * 告警开发 * 安全分析 ### Linux 技能 * Syslog 配置 * SSH 监控 * FTP 监控 * 身份验证分析 * 权限提升检测 ### 安全框架 * MITRE ATT&CK 映射 * 安全监控最佳实践 * SOC 工作流模拟 ## 文件夹结构 ``` Splunk-SIEM-Threat-Detection-Lab │ ├── README.md │ ├── Architecture │ └── network-diagram.md │ ├── Documentation │ └── lab-setup.md │ ├── Detection-Rules │ └── detection-rules.md │ ├── SPL-Queries │ └── README.md │ └── Screenshots ├── 01-Log-Ingestion ├── 02-SSH-Monitoring ├── 03-FTP-Monitoring ├── 04-Telnet-Monitoring ├── 05-Privilege-Escalation ├── 06-Alerts └── 07-Dashboards ``` ## 使用的技术 ``` Splunk Enterprise Metasploitable 2 Kali Linux Syslog SSH FTP Linux VMware Workstation Pro SIEM SOC Operations ``` ## 学习成果 通过该项目，培养并掌握了以下实用的网络安全技能： * 构建 SIEM 环境 * 集中式日志收集 * 安全事件分析 * 身份验证监控 * SSH 监控 * FTP 监控 * 权限提升检测 * 仪表板开发 * 告警创建 * 威胁狩猎 * 事件调查 * SOC 分析师工作流 ## 简历描述 使用 Kali Linux、Metasploitable 2 和 Splunk Enterprise 构建了基于 Splunk 的 SIEM 威胁检测实验室。配置了集中式 Syslog 收集，开发了自定义 SPL 查询，实现了 SSH/FTP 身份验证监控、权限提升检测、仪表板创建和告警工作流。利用真实世界的攻击模拟，执行了威胁狩猎、安全事件关联以及 SOC 风格的事件调查。 ## 作者 **Chaitanya Tiwari** B.Tech 网络安全 | VIT Bhopal University 专注于 SOC 运营、SIEM 工程、威胁检测、威胁狩猎和安全监控。

标签：AMSI绕过, Web报告查看器, 威胁检测, 安全实验环境, 安全运营, 扫描框架, 红队行动