Parth63-ai/Mini-SOC-Detection-Investigation-Lab-using-Splunk-Enterprise
GitHub: Parth63-ai/Mini-SOC-Detection-Investigation-Lab-using-Splunk-Enterprise
一个基于 Splunk Enterprise 构建的迷你 SOC 实验室,用于 Windows 事件日志监控、身份验证分析与安全事件检测调查。
Stars: 0 | Forks: 0
# 🛡️ 使用 Splunk Enterprise 的迷你 SOC 检测与调查实验室
## 📖 概述
**迷你 SOC 检测与调查实验室** 是一个面向新手的 Security Operations Center (SOC) 模拟环境,使用 **Splunk Enterprise**、**Splunk Universal Forwarder** 和 **Windows Event Logs** 构建。
本项目的目的是演示 SOC Analyst 如何使用 SIEM 平台收集、监控、调查和检测安全事件。
本项目重点关注使用 Splunk 进行 Windows 身份验证监控、失败登录检测、仪表盘创建、事件调查以及告警生成。
# 🎯 目标
- 收集 Windows Event Logs
- 使用 Splunk Universal Forwarder 转发日志
- 监控身份验证事件
- 检测失败登录尝试
- 构建 SOC 仪表盘
- 调查安全事件
- 生成告警
- 记录事件
# 🏗️ 架构
```
Windows Host
│
▼
Windows Event Logs
│
▼
Splunk Universal Forwarder
│
▼
Splunk Enterprise
│
├── Dashboard Monitoring
├── Detection Queries
├── Investigation
└── Incident Reporting
```
# 🛠️ 使用的技术
- Splunk Enterprise 10.4
- Splunk Universal Forwarder
- Windows Event Logs
- SPL (Splunk Processing Language)
- Windows 操作系统
# 📊 仪表盘功能
SOC 仪表盘包含以下监控面板:
- 安全事件概览
- 热门安全事件 ID
- 成功登录
- 失败登录
- 失败登录检测
- 身份验证分析
- 潜在暴力破解检测
- 近期安全事件
- 安全事件时间线
# 🔍 监控的 Windows Event IDs
| Event ID | 描述 |
|----------|-------------|
| 4624 | 成功登录 |
| 4625 | 失败登录 |
| 4672 | 分配特殊权限 |
# 📂 项目结构
```
Mini-SOC-Detection-and-Investigation-Lab/
│
├── README.md
│
├── Architecture/
│ └── architecture.png
│
├── Dashboard Screenshots/
│ ├── dashboard_overview_part1.png
│ ├── dashboard_overview_part2.png
│ ├── dashboard_overview_part3.png
│ ├── authentication_analysis.png
│ ├── failed_login_detection.png
│ ├── brute_force_detection.png
│ └── recent_security_events.png
│
├── SPL Queries/
│ ├── successful_login_analysis.md
│ ├── failed_login_detection.md
│ ├── brute_force_detection.md
│ ├── authentication_monitoring.md
│ ├── recent_security_events.md
│ └── security_events_timeline.md
│
└── Incident Reports/
└── failed_login_investigation.md
```
# 📸 仪表盘预览
仪表盘截图可在 **Dashboard Screenshots** 文件夹中找到。
## 🔍 核心仪表盘面板
### 成功登录
### 失败登录检测
### 安全事件概览
### 近期安全事件
# 🔎 SPL 示例查询
## 成功登录分析
```
index=main source="WinEventLog:Security" EventCode=4624
| stats count by Account_Name
| sort -count
```
## 失败登录检测
```
index=main source="WinEventLog:Security" EventCode=4625
| stats count by Account_Name
| sort -count
```
## 潜在暴力破解检测
```
index=main source="WinEventLog:Security" EventCode=4625
| stats count by Account_Name
| where count > 5
```
## 近期安全事件
```
index=main source="WinEventLog:Security"
| table _time EventCode Account_Name host
| sort -_time
```
# 🚨 事件调查
**Incident Reports** 文件夹中包含一份示例事件报告。
该报告包含:
- 事件摘要
- 收集的证据
- 调查过程
- 调查结果
- 严重性评估
- 建议
- 结论
# 💡 展示的技能
- SIEM 基础知识
- Windows Event Log 分析
- Splunk Enterprise
- Universal Forwarder 配置
- SPL 查询开发
- 仪表盘开发
- 身份验证监控
- 安全事件调查
- 事件报告
- Blue Team 运营
# 🚀 未来改进(版本 2)
本项目的下一个版本将包括:
- Sysmon 集成
- 进程创建监控
- 网络连接监控
- Nmap 扫描检测
- Wireshark 集成
- 威胁狩猎查询
- MITRE ATT&CK 映射
- 多端点监控
# 👨💻 作者
**Kumar Partha**
B.Tech CSE (Cybersecurity)
Blue Team 爱好者
## ⭐ 如果您觉得这个项目有帮助,请考虑给它点个 Star!
### 失败登录检测
### 近期安全事件
# 🔎 SPL 示例查询
## 成功登录分析
```
index=main source="WinEventLog:Security" EventCode=4624
| stats count by Account_Name
| sort -count
```
## 失败登录检测
```
index=main source="WinEventLog:Security" EventCode=4625
| stats count by Account_Name
| sort -count
```
## 潜在暴力破解检测
```
index=main source="WinEventLog:Security" EventCode=4625
| stats count by Account_Name
| where count > 5
```
## 近期安全事件
```
index=main source="WinEventLog:Security"
| table _time EventCode Account_Name host
| sort -_time
```
# 🚨 事件调查
**Incident Reports** 文件夹中包含一份示例事件报告。
该报告包含:
- 事件摘要
- 收集的证据
- 调查过程
- 调查结果
- 严重性评估
- 建议
- 结论
# 💡 展示的技能
- SIEM 基础知识
- Windows Event Log 分析
- Splunk Enterprise
- Universal Forwarder 配置
- SPL 查询开发
- 仪表盘开发
- 身份验证监控
- 安全事件调查
- 事件报告
- Blue Team 运营
# 🚀 未来改进(版本 2)
本项目的下一个版本将包括:
- Sysmon 集成
- 进程创建监控
- 网络连接监控
- Nmap 扫描检测
- Wireshark 集成
- 威胁狩猎查询
- MITRE ATT&CK 映射
- 多端点监控
# 👨💻 作者
**Kumar Partha**
B.Tech CSE (Cybersecurity)
Blue Team 爱好者
## ⭐ 如果您觉得这个项目有帮助,请考虑给它点个 Star!标签:AMSI绕过, Windows事件日志, 威胁检测, 安全运营中心, 红队行动, 网络映射