hudanoor-01/Elastic-SIEM-Failed-Login-Detection

GitHub: hudanoor-01/Elastic-SIEM-Failed-Login-Detection

基于 Elastic SIEM 和 KQL 的 Windows 登录失败检测项目,通过采集安全日志并配置阈值规则识别潜在的暴力破解行为。

Stars: 0 | Forks: 0

# Elastic SIEM – Windows 登录失败检测 ## 项目概述 本项目演示了如何使用 **Elastic SIEM**、**Elastic Agent**、**Kibana** 和 **KQL** 来检测 Windows 登录失败尝试。 我们创建了一个自定义检测规则,用于识别重复的登录失败尝试(Windows 事件 ID **4625**),这可能表明存在暴力破解攻击或未经授权的身份验证尝试。 ## 目标 * 使用 Elastic Agent 收集 Windows 安全日志 * 使用 KQL 检测登录失败事件 * 构建安全监控仪表板 * 创建基于阈值的检测规则 * 生成并调查安全告警 ## 使用的技术 * Elastic SIEM * Kibana * Elastic Agent * Windows 安全日志 (Windows Security Logs) * Kibana 查询语言 (KQL) ## KQL 查询 ``` event.code:"4625" ``` ## 检测规则 | 设置 | 值 | | ---------- | ------------------------ | | 规则类型 | 阈值 (Threshold) | | 查询 | `event.code:"4625"` | | 分组依据 | `host.name` | | 阈值 | 每台主机 2 次登录失败 | | 严重性 | 中等 | | 风险评分 | 50 | ## 仪表板 该仪表板包含: * 登录失败尝试总数 * 随时间变化的登录失败尝试 * 受攻击最多的用户账户 * 受影响最多的主机 * 登录失败事件表 ## 项目截图 ### 仪表板 ![仪表板](https://raw.githubusercontent.com/hudanoor-01/Elastic-SIEM-Failed-Login-Detection/main/screenshots/01-dashboard.png) ### Discover - 登录失败事件 ![Discover](https://raw.githubusercontent.com/hudanoor-01/Elastic-SIEM-Failed-Login-Detection/main/screenshots/02-discover-events.png) ### 检测规则 ![检测规则](https://raw.githubusercontent.com/hudanoor-01/Elastic-SIEM-Failed-Login-Detection/main/screenshots/03-detection-rule.png) ### 生成的告警 ![告警](https://raw.githubusercontent.com/hudanoor-01/Elastic-SIEM-Failed-Login-Detection/main/screenshots/04-alert-generated.png) ## 展示的技能 * 安全监控 * SIEM 操作 * 日志分析 * Windows 事件分析 * KQL 查询编写 * 检测工程 * 仪表板创建 * 告警调查 ## 未来改进 * 检测来自多个源 IP 的登录失败 * 关联暴力破解尝试后的成功登录 * 添加 MITRE ATT&CK 映射 * 扩展对其他 Windows 安全事件的检测覆盖范围 ## 作者 **Noor-ul-Huda (hudanoor-01)**
标签:Elastic SIEM, KQL, Windows事件日志, 暴破检测, 越狱测试