Ademuyiwa-Yinus/Splunk-MidnightSwap-Investigation
GitHub: Ademuyiwa-Yinus/Splunk-MidnightSwap-Investigation
基于 Splunk Enterprise 对 MidnightSwap 金融科技攻击进行 SOC 威胁调查,通过 SPL 查询和交互式 Dashboard 识别并可视化恶意活动。
Stars: 0 | Forks: 0
# Splunk MidnightSwap SOC 调查
## 项目概述
本项目演示了使用 Splunk Enterprise 进行的安全运营中心 (SOC) 威胁调查。目标是分析 MidnightSwap 安全数据集,识别恶意活动,调查攻击模式,并通过交互式 SOC dashboard 展示调查结果。
## 目标
- 将 Splunk Enterprise 部署为 SIEM 平台
- 使用 SPL 分析安全事件
- 调查可疑 IP 地址
- 识别被针对的用户名
- 检测攻击类别
- 构建交互式 SOC dashboard
- 记录调查结果
## 使用的工具
- Splunk Enterprise
- Kali Linux
- Oracle VirtualBox
- Search Processing Language (SPL)
- MidnightSwap 数据集
## 展示的技能
- SIEM 管理
- 日志分析
- 威胁狩猎
- SOC 监控
- SPL 查询开发
- Dashboard 创建
- 事件调查
## 调查流程
1. 在 Kali Linux 上安装并配置 Splunk Enterprise。
2. 导入 MidnightSwap 数据集。
3. 解析并索引安全事件。
4. 开发 SPL 搜索以识别恶意活动。
5. 调查可疑 IP 地址和被针对的用户名。
6. 构建交互式 SOC dashboard 以可视化安全事件。
7. 记录调查结果和安全建议。
## 关键发现
- 暴力破解攻击是最常见的攻击类型。
- 检测到多起网络钓鱼相关活动。
- 多个 IP 地址反复生成可疑事件。
- 某些用户名比其他用户名更频繁地成为攻击目标。
- 攻击活动随时间呈现出明显的激增。
## 仓库内容
- 项目报告 (PDF)
- Dashboard 截图
- SPL 查询
- 文档
## 作者
**Ademuyiwa Yinus**
初级 SOC 分析师 | Splunk | 威胁检测 | SIEM | 网络安全
标签:代码示例, 安全运营, 扫描框架, 数据分析