hudanoor-01/Elastic-SIEM-Failed-Login-Detection
GitHub: hudanoor-01/Elastic-SIEM-Failed-Login-Detection
基于 Elastic SIEM 和 KQL 的 Windows 登录失败检测项目,通过采集安全日志并配置阈值规则识别潜在的暴力破解行为。
Stars: 0 | Forks: 0
# Elastic SIEM – Windows 登录失败检测
## 项目概述
本项目演示了如何使用 **Elastic SIEM**、**Elastic Agent**、**Kibana** 和 **KQL** 来检测 Windows 登录失败尝试。
我们创建了一个自定义检测规则,用于识别重复的登录失败尝试(Windows 事件 ID **4625**),这可能表明存在暴力破解攻击或未经授权的身份验证尝试。
## 目标
* 使用 Elastic Agent 收集 Windows 安全日志
* 使用 KQL 检测登录失败事件
* 构建安全监控仪表板
* 创建基于阈值的检测规则
* 生成并调查安全告警
## 使用的技术
* Elastic SIEM
* Kibana
* Elastic Agent
* Windows 安全日志 (Windows Security Logs)
* Kibana 查询语言 (KQL)
## KQL 查询
```
event.code:"4625"
```
## 检测规则
| 设置 | 值 |
| ---------- | ------------------------ |
| 规则类型 | 阈值 (Threshold) |
| 查询 | `event.code:"4625"` |
| 分组依据 | `host.name` |
| 阈值 | 每台主机 2 次登录失败 |
| 严重性 | 中等 |
| 风险评分 | 50 |
## 仪表板
该仪表板包含:
* 登录失败尝试总数
* 随时间变化的登录失败尝试
* 受攻击最多的用户账户
* 受影响最多的主机
* 登录失败事件表
## 项目截图
### 仪表板

### Discover - 登录失败事件

### 检测规则

### 生成的告警

## 展示的技能
* 安全监控
* SIEM 操作
* 日志分析
* Windows 事件分析
* KQL 查询编写
* 检测工程
* 仪表板创建
* 告警调查
## 未来改进
* 检测来自多个源 IP 的登录失败
* 关联暴力破解尝试后的成功登录
* 添加 MITRE ATT&CK 映射
* 扩展对其他 Windows 安全事件的检测覆盖范围
## 作者
**Noor-ul-Huda (hudanoor-01)**
标签:Elastic SIEM, KQL, Windows事件日志, 暴破检测, 越狱测试