sureddyjithendrareddy/SOC-Log-Monitoring-Incident-Response

GitHub: sureddyjithendrareddy/SOC-Log-Monitoring-Incident-Response

基于 Splunk SIEM 的 SOC 日志监控项目,通过采集和分析 Linux 身份验证日志实现 SSH 暴力破解检测与安全事件可视化调查。

Stars: 0 | Forks: 0

# 使用 Splunk 进行 SOC 日志监控与事件响应 ![Platform](https://img.shields.io/badge/Platform-Linux-green) ![SIEM](https://img.shields.io/badge/SIEM-Splunk-orange) ![Status](https://img.shields.io/badge/Status-Completed-success) ![License](https://img.shields.io/badge/License-MIT-blue) ## 概述 本项目演示了安全运营中心 (SOC) 如何使用 Linux 身份验证日志和 Splunk SIEM 来检测和调查安全事件。 主要目标是监控 SSH 身份验证事件,识别 暴力破解攻击,关联失败和成功的登录,并 通过交互式仪表板可视化安全事件。 ## 目标 - 安装和配置 Splunk Enterprise - 监控 Linux 身份验证日志 - 检测 SSH 暴力破解攻击 - 调查可疑的登录尝试 - 关联身份验证事件 - 构建 SOC 仪表板 - 执行事件分析 ## 使用的技术 - Splunk Enterprise - Ubuntu Linux - Linux 身份验证日志 - SSH - SPL (Splunk Processing Language) ## 项目架构 ``` Linux Authentication Logs │ ▼ Splunk Log Collection │ ▼ Security Index │ ▼ SPL Queries │ ▼ Threat Detection │ ▼ Dashboards & Investigation ``` ## 功能 - 身份验证日志监控 - SSH 暴力破解检测 - 失败登录分析 - 成功登录关联 - 源 IP 识别 - 目标用户识别 - Splunk 仪表板 - 事件调查 ## 检测查询 ### 检测失败登录 ``` index=security "Failed password" ``` ### 识别攻击 IP 地址 ``` index=security "Failed password" | rex "from (?\d+\.\d+\.\d+\.\d+)" | stats count as failed_attempts by src_ip | sort -failed_attempts ``` ### 识别目标用户 ``` index=security "Failed password" | rex "user (?\S+)" | stats count as attempts by user | sort -attempts ``` ### 失败与成功登录对比 ``` index=security ("Failed password" OR "Accepted password") | rex "from (?\d+\.\d+\.\d+\.\d+)" | eval auth_result=if(searchmatch("Accepted password"),"Success","Failure") | stats count by src_ip, auth_result ``` ### 高风险关联 ``` index=security | rex "from (?\d+\.\d+\.\d+\.\d+)" | stats count(eval(searchmatch("Failed password"))) as failures count(eval(searchmatch("Accepted password"))) as successes by src_ip | where failures > 5 AND successes > 0 ``` ## 仪表板面板 - 身份验证失败 - 主要攻击 IP 地址 - 失败与成功登录对比 - 高风险 IP 关联 ## 项目工作流 1. 安装 Splunk Enterprise 2. 配置 Linux 日志监控 3. 接入身份验证日志 4. 使用 SPL 进行搜索 5. 检测暴力破解攻击 6. 关联安全事件 7. 调查可疑活动 8. 使用仪表板可视化结果 ## 安全用例 - SSH 暴力破解检测 - 凭据滥用检测 - 账户被盗用调查 - 身份验证监控 - 事件响应 - 威胁狩猎 ## 学习成果 - Splunk 安装与配置 - 日志收集与索引 - SPL 查询编写 - 身份验证事件分析 - 威胁检测 - 事件关联 - 仪表板开发 - SOC 调查工作流 ## 仓库结构 ``` . ├── README.md ├── Suricata_Installation_Config.txt ├── Suricata_IDPS_SETUP_Attacks_Demo.txt ├── local.rules.txt └── NOT_DEMO_OTHER_RULES.txt ``` ## 未来改进 - 实时告警 - 邮件通知 - 威胁情报集成 - MITRE ATT&CK 映射 - 自动化事件响应 - SOAR 集成 ## 作者 **Jithendra Reddy** 网络安全学生 \| SOC 分析师 \| 蓝队爱好者 - GitHub: https://github.com/sureddyjithendrareddy - LinkedIn: https://linkedin.com/in/sureddyjithendrareddy ⭐ 如果您觉得这个项目有帮助,请考虑给它点个 Star。
标签:Metaprompt, SSH监控, 免杀技术, 安全可视化, 安全运营, 扫描框架, 暴力破解检测