raphsec/firewall-log-analysis-lab

GitHub: raphsec/firewall-log-analysis-lab

基于 Splunk 与 pfSense 的蓝队 SOC 实验室,通过分析防火墙日志检测端口扫描、暴力破解和 C2 流量等威胁。

Stars: 0 | Forks: 0

![状态](https://img.shields.io/badge/Status-Complete-brightgreen) ![工具](https://img.shields.io/badge/SIEM-Splunk-orange) ![平台](https://img.shields.io/badge/Platform-Ubuntu_Linux-purple) ![类型](https://img.shields.io/badge/Type-Blue_Team_Lab-blue) ![威胁](https://img.shields.io/badge/Threats_Detected-3-red) # 防火墙日志分析与威胁检测实验室 ## 项目概述 Blue Team SOC 实验室,分析 pfSense 防火墙日志 使用 Splunk Enterprise 检测真实攻击模式。 ## 检测到的威胁 - 端口扫描 — 192.168.1.105 - SSH 暴力破解 — 185.220.101.45 - Metasploit C2 流量 — 端口 4444 ## 使用的工具 - Splunk Enterprise 10.4.0 - pfSense 防火墙日志 - SPL 查询 - VirtualBox 上的 Ubuntu Linux ## 展示的技能 - 将防火墙日志接入 SIEM - 编写 SPL 查询进行威胁检测 - 告警分类与事件记录 - SOC Tier 1 分析师工作流程 ## 截图 ### Splunk 仪表板 ![Splunk 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/6a/6af48e0859736014dbf23a8c6308fdd69d8f38a96f82f6dabf28b89c222e62f6.png) ### 已接入的防火墙日志 ![防火墙日志](https://static.pigsec.cn/wp-content/uploads/repos/cas/f7/f7d56c2685c9e03277f50c284e1bafd117dcb3eceaea8c89a6fc562ff16d9cd6.png) ### 检测到端口扫描 ![端口扫描](https://static.pigsec.cn/wp-content/uploads/repos/cas/25/25c521fd4f15283d7de8f4cd5c2ae52dcbc546c16053292d6bfdb4de802599d9.png) ### 检测到暴力破解攻击 ![暴力破解](https://static.pigsec.cn/wp-content/uploads/repos/cas/eb/ebe64047c3e57f36d735e2efd954999014aad4d69e60d18e99c07a7bc92a09f4.png) ### 检测到 Metasploit C2 流量 ![Metasploit](https://static.pigsec.cn/wp-content/uploads/repos/cas/16/16bcc4e46f73b767c4cd17debf787c137d47bbae62ca21f4a4ae1d17a638d926.png) ### 事件报告 ![事件报告](https://static.pigsec.cn/wp-content/uploads/repos/cas/73/732f07e63402d94800a5b4fa516a99222a2c0c404b8c771e2d69af7cdbe6d4fa.png) ## 分析师 Raphael Akro | raphsec.github.io
标签:AMSI绕过, IP 地址批量处理, pfSense, SOC蓝队, 威胁检测, 安全运营, 扫描框架, 插件系统, 红队行动