AhmedCyber-01/The-Splunk-Project
GitHub: AhmedCyber-01/The-Splunk-Project
一组基于 Splunk SIEM 的日志分析与威胁检测实战项目,通过 SPL 查询和 MITRE ATT&CK 映射演示多类安全日志的监控与告警配置。
Stars: 0 | Forks: 0
# Splunk SIEM 日志分析项目
本仓库包含多个项目,演示了如何使用 Splunk SIEM 分析不同类型的日志。每个项目都包含示例日志文件、SPL 查询、仪表板和安全分析技术。
## 实验
### 1. SSH 日志分析
分析 SSH 身份验证日志,以识别:
- 成功和失败的登录尝试
- 暴力破解攻击
- 可疑 IP 地址
- 用户身份验证活动
### 2. Web 流量(Apache)日志分析
分析 Apache Web 服务器日志,以:
- 监控总 Web 请求和响应统计信息
- 识别请求最多的 URI 和活跃用户
- 检测客户端和服务器错误
- 调查地理流量分布
### 3. 使用 Splunk 进行 DNS 日志分析
分析 DNS 查询日志,以:
- 分析 DNS 查询类型(A、AAAA、CNAME、PTR、MX)
- 识别最常查询的域
- 查找产生 DNS 流量的主要客户端
- 发现失败或可疑的查询(例如,NXDOMAIN 响应)
- 检测高延迟 DNS 查找(可能是 DNS 隧道或配置错误)
### 4. 使用 Splunk 进行 HTTP 日志分析
分析 HTTP 访问日志,以:
- 分析 HTTP 请求方法(GET、POST、PUT、DELETE、CONNECT、OPTIONS)
- 检测客户端错误(4xx)和服务器错误(5xx)
- 识别可疑的 user agent(curl、sqlmap、botnet-checker、python-requests)
- 标记可疑的 URI(例如,/admin、/shell.php、/etc/passwd)
- 发现大量数据传输(可能存在数据外泄)
## 使用的工具
- Splunk Enterprise
- SPL (Search Processing Language)
- 示例网络和安全日志
## 目标
这些项目的目标是获得使用 Splunk SIEM 进行日志分析、威胁检测和安全监控的实践经验。
标签:IP 地址批量处理, 安全运营, 扫描框架, 监控告警