abhinavkishor9/splunk-soc-lab-06-apache-suspicious-ip-investigation

# splunk-soc-lab-06-apache-suspicious-ip-investigation ## 概述 本实验演示了如何在 Splunk Enterprise 中使用 Apache 访问日志调查源 IP 活动。 源 IP 分析是 SOC 分析师的一项关键任务，用于识别侦察活动、自动化扫描、异常流量模式以及潜在的攻击源。通过分析请求量、访问的资源、HTTP 方法、状态码和 User-Agent 字符串，分析师可以判断活动是合法的还是可疑的。 本实验的目标是识别高频请求的源 IP，调查其行为，并评估潜在的安全风险。 # 实验环境 - Splunk Enterprise - Search & Reporting App - Apache Access Logs - Windows 主机 # 场景 SOC 团队观察到异常的 Web 流量模式，希望确定特定的源 IP 地址是否正在针对某个 Web 应用程序执行侦察或自动化扫描活动。 作为 SOC 分析师，您的任务是识别可疑的 IP 地址，调查其活动，并确定是否需要采取进一步的行动。 # 目标 - 识别排名靠前的源 IP 地址 - 分析请求量 - 调查访问的资源 - 审查 HTTP 方法 - 审查 HTTP 状态码 - 分析 User-Agent 字符串 - 检测侦察指标 - 培养以 IP 为中心的调查技能 # MITRE ATT&CK 映射 | 技术 | 描述 | |------------|------------| | T1595 | 主动扫描 | | T1046 | 网络服务发现 | | T1590 | 收集受害者网络信息 | # 严重程度 **中** 高频请求、过度的 URL 枚举或异常的访问模式可能表明存在侦察或自动化扫描活动。 # 检测逻辑 ## 排名靠前的源 IP 地址 ``` index=main | stats count by clientip | sort -count ``` ## 特定 IP 访问的资源 ``` index=main clientip="" | stats count by uri | sort -count ``` ## 使用的 HTTP 方法 ``` index=main clientip="" | stats count by method ``` ## 生成的 HTTP 状态码 ``` index=main clientip="" | stats count by status ``` ## User-Agent 分析 ``` index=main clientip="" | stats count by useragent ``` ## 侦察检测 ``` index=main | stats dc(uri) as unique_urls count by clientip | sort -unique_urls ``` ## 错误生成分析 ``` index=main | stats count by clientip status | sort -count ``` ## 时间线分析 ``` index=main | timechart count by clientip limit=10 ``` # 误报 - 搜索引擎爬虫 - 漏洞管理扫描器 - 监控工具 - 内部测试活动 - 负载均衡器 - 大量请求的合法用户 # 建议的遏制措施 验证可疑的源 IP 活动，审查访问的资源，监控持续的行为，并在适当时封锁已确认的恶意 IP。 # 展示的技能 - Splunk SPL - 威胁狩猎 - Apache 日志分析 - Web 流量分析 - IOC 调查 - 安全监控 - 事件调查 - SOC 运营 # 经验教训 本实验提升了对以下内容的理解： - 源 IP 分析 - 流量分析 - 侦察检测 - Apache Web 日志调查 - 威胁狩猎方法论 - Splunk 搜索技术

标签：GitHub, 安全实验, 安全运营, 密码管理, 扫描框架, 插件系统