AhmedCyber-01/The-Splunk-Project

GitHub: AhmedCyber-01/The-Splunk-Project

一组基于 Splunk SIEM 的日志分析与威胁检测实战项目,通过 SPL 查询和 MITRE ATT&CK 映射演示多类安全日志的监控与告警配置。

Stars: 0 | Forks: 0

# Splunk SIEM 日志分析项目 本仓库包含多个项目,演示了如何使用 Splunk SIEM 分析不同类型的日志。每个项目都包含示例日志文件、SPL 查询、仪表板和安全分析技术。 ## 实验 ### 1. SSH 日志分析 分析 SSH 身份验证日志,以识别: - 成功和失败的登录尝试 - 暴力破解攻击 - 可疑 IP 地址 - 用户身份验证活动 ### 2. Web 流量(Apache)日志分析 分析 Apache Web 服务器日志,以: - 监控总 Web 请求和响应统计信息 - 识别请求最多的 URI 和活跃用户 - 检测客户端和服务器错误 - 调查地理流量分布 ### 3. 使用 Splunk 进行 DNS 日志分析 分析 DNS 查询日志,以: - 分析 DNS 查询类型(A、AAAA、CNAME、PTR、MX) - 识别最常查询的域 - 查找产生 DNS 流量的主要客户端 - 发现失败或可疑的查询(例如,NXDOMAIN 响应) - 检测高延迟 DNS 查找(可能是 DNS 隧道或配置错误) ### 4. 使用 Splunk 进行 HTTP 日志分析 分析 HTTP 访问日志,以: - 分析 HTTP 请求方法(GET、POST、PUT、DELETE、CONNECT、OPTIONS) - 检测客户端错误(4xx)和服务器错误(5xx) - 识别可疑的 user agent(curl、sqlmap、botnet-checker、python-requests) - 标记可疑的 URI(例如,/admin、/shell.php、/etc/passwd) - 发现大量数据传输(可能存在数据外泄) ## 使用的工具 - Splunk Enterprise - SPL (Search Processing Language) - 示例网络和安全日志 ## 目标 这些项目的目标是获得使用 Splunk SIEM 进行日志分析、威胁检测和安全监控的实践经验。
标签:IP 地址批量处理, 安全运营, 扫描框架, 监控告警