wendelltwumasi/SIEM-Detection-Engineering

# SIEM 检测工程 “网络安全实战项目作品集：SIEM 管理、Windows 安全日志接入与 SPL 检测工程。” # 网络安全实验室作品集：Splunk SIEM 运维 ## 概述 本仓库记录了我使用 Splunk Enterprise 的实践经验，重点聚焦于 Windows 环境下的数据接入与检测工程。 ## 实验 1：Splunk 连接与数据接入 *目标：建立从 Windows Server 到 Splunk SIEM 的安全日志接入。* - **操作**：验证 `splunkd` 服务并配置 `inputs.conf` 以启用 Security 日志收集。 - **结果**：成功将原始 Windows Event Logs 桥接至 Splunk indexer。 ## 实验 2：检测工程与关联 *目标：将原始日志转化为可执行的安全情报。* - **操作**：利用 SPL (Splunk Processing Language) 识别暴力破解登录模式（Event ID 4625）。 - **结果**：开发了一条关联查询，成功标记了高频次的身份验证失败尝试，以实现主动告警。

标签：SIEM系统, Windows服务器, 安全运营, 扫描框架, 红队行动, 网络安全, 隐私保护