Ademuyiwa-Yinus/Splunk-MidnightSwap-Investigation

GitHub: Ademuyiwa-Yinus/Splunk-MidnightSwap-Investigation

基于 Splunk Enterprise 对 MidnightSwap 金融科技攻击进行 SOC 威胁调查,通过 SPL 查询和交互式 Dashboard 识别并可视化恶意活动。

Stars: 0 | Forks: 0

# Splunk MidnightSwap SOC 调查 ## 项目概述 本项目演示了使用 Splunk Enterprise 进行的安全运营中心 (SOC) 威胁调查。目标是分析 MidnightSwap 安全数据集,识别恶意活动,调查攻击模式,并通过交互式 SOC dashboard 展示调查结果。 ## 目标 - 将 Splunk Enterprise 部署为 SIEM 平台 - 使用 SPL 分析安全事件 - 调查可疑 IP 地址 - 识别被针对的用户名 - 检测攻击类别 - 构建交互式 SOC dashboard - 记录调查结果 ## 使用的工具 - Splunk Enterprise - Kali Linux - Oracle VirtualBox - Search Processing Language (SPL) - MidnightSwap 数据集 ## 展示的技能 - SIEM 管理 - 日志分析 - 威胁狩猎 - SOC 监控 - SPL 查询开发 - Dashboard 创建 - 事件调查 ## 调查流程 1. 在 Kali Linux 上安装并配置 Splunk Enterprise。 2. 导入 MidnightSwap 数据集。 3. 解析并索引安全事件。 4. 开发 SPL 搜索以识别恶意活动。 5. 调查可疑 IP 地址和被针对的用户名。 6. 构建交互式 SOC dashboard 以可视化安全事件。 7. 记录调查结果和安全建议。 ## 关键发现 - 暴力破解攻击是最常见的攻击类型。 - 检测到多起网络钓鱼相关活动。 - 多个 IP 地址反复生成可疑事件。 - 某些用户名比其他用户名更频繁地成为攻击目标。 - 攻击活动随时间呈现出明显的激增。 ## 仓库内容 - 项目报告 (PDF) - Dashboard 截图 - SPL 查询 - 文档 ## 作者 **Ademuyiwa Yinus** 初级 SOC 分析师 | Splunk | 威胁检测 | SIEM | 网络安全
标签:代码示例, 安全运营, 扫描框架, 数据分析