raphsec/firewall-log-analysis-lab
GitHub: raphsec/firewall-log-analysis-lab
基于 Splunk 与 pfSense 的蓝队 SOC 实验室,通过分析防火墙日志检测端口扫描、暴力破解和 C2 流量等威胁。
Stars: 0 | Forks: 0





# 防火墙日志分析与威胁检测实验室
## 项目概述
Blue Team SOC 实验室,分析 pfSense 防火墙日志
使用 Splunk Enterprise 检测真实攻击模式。
## 检测到的威胁
- 端口扫描 — 192.168.1.105
- SSH 暴力破解 — 185.220.101.45
- Metasploit C2 流量 — 端口 4444
## 使用的工具
- Splunk Enterprise 10.4.0
- pfSense 防火墙日志
- SPL 查询
- VirtualBox 上的 Ubuntu Linux
## 展示的技能
- 将防火墙日志接入 SIEM
- 编写 SPL 查询进行威胁检测
- 告警分类与事件记录
- SOC Tier 1 分析师工作流程
## 截图
### Splunk 仪表板

### 已接入的防火墙日志

### 检测到端口扫描

### 检测到暴力破解攻击

### 检测到 Metasploit C2 流量

### 事件报告

## 分析师
Raphael Akro | raphsec.github.io
标签:AMSI绕过, IP 地址批量处理, pfSense, SOC蓝队, 威胁检测, 安全运营, 扫描框架, 插件系统, 红队行动