sureddyjithendrareddy/SOC-Log-Monitoring-Incident-Response
GitHub: sureddyjithendrareddy/SOC-Log-Monitoring-Incident-Response
基于 Splunk SIEM 的 SOC 日志监控项目,通过采集和分析 Linux 身份验证日志实现 SSH 暴力破解检测与安全事件可视化调查。
Stars: 0 | Forks: 0
# 使用 Splunk 进行 SOC 日志监控与事件响应




## 概述
本项目演示了安全运营中心 (SOC) 如何使用 Linux 身份验证日志和
Splunk SIEM 来检测和调查安全事件。
主要目标是监控 SSH 身份验证事件,识别
暴力破解攻击,关联失败和成功的登录,并
通过交互式仪表板可视化安全事件。
## 目标
- 安装和配置 Splunk Enterprise
- 监控 Linux 身份验证日志
- 检测 SSH 暴力破解攻击
- 调查可疑的登录尝试
- 关联身份验证事件
- 构建 SOC 仪表板
- 执行事件分析
## 使用的技术
- Splunk Enterprise
- Ubuntu Linux
- Linux 身份验证日志
- SSH
- SPL (Splunk Processing Language)
## 项目架构
```
Linux Authentication Logs
│
▼
Splunk Log Collection
│
▼
Security Index
│
▼
SPL Queries
│
▼
Threat Detection
│
▼
Dashboards & Investigation
```
## 功能
- 身份验证日志监控
- SSH 暴力破解检测
- 失败登录分析
- 成功登录关联
- 源 IP 识别
- 目标用户识别
- Splunk 仪表板
- 事件调查
## 检测查询
### 检测失败登录
```
index=security "Failed password"
```
### 识别攻击 IP 地址
```
index=security "Failed password"
| rex "from (?\d+\.\d+\.\d+\.\d+)"
| stats count as failed_attempts by src_ip
| sort -failed_attempts
```
### 识别目标用户
```
index=security "Failed password"
| rex "user (?\S+)"
| stats count as attempts by user
| sort -attempts
```
### 失败与成功登录对比
```
index=security ("Failed password" OR "Accepted password")
| rex "from (?\d+\.\d+\.\d+\.\d+)"
| eval auth_result=if(searchmatch("Accepted password"),"Success","Failure")
| stats count by src_ip, auth_result
```
### 高风险关联
```
index=security
| rex "from (?\d+\.\d+\.\d+\.\d+)"
| stats
count(eval(searchmatch("Failed password"))) as failures
count(eval(searchmatch("Accepted password"))) as successes
by src_ip
| where failures > 5 AND successes > 0
```
## 仪表板面板
- 身份验证失败
- 主要攻击 IP 地址
- 失败与成功登录对比
- 高风险 IP 关联
## 项目工作流
1. 安装 Splunk Enterprise
2. 配置 Linux 日志监控
3. 接入身份验证日志
4. 使用 SPL 进行搜索
5. 检测暴力破解攻击
6. 关联安全事件
7. 调查可疑活动
8. 使用仪表板可视化结果
## 安全用例
- SSH 暴力破解检测
- 凭据滥用检测
- 账户被盗用调查
- 身份验证监控
- 事件响应
- 威胁狩猎
## 学习成果
- Splunk 安装与配置
- 日志收集与索引
- SPL 查询编写
- 身份验证事件分析
- 威胁检测
- 事件关联
- 仪表板开发
- SOC 调查工作流
## 仓库结构
```
.
├── README.md
├── Suricata_Installation_Config.txt
├── Suricata_IDPS_SETUP_Attacks_Demo.txt
├── local.rules.txt
└── NOT_DEMO_OTHER_RULES.txt
```
## 未来改进
- 实时告警
- 邮件通知
- 威胁情报集成
- MITRE ATT&CK 映射
- 自动化事件响应
- SOAR 集成
## 作者
**Jithendra Reddy**
网络安全学生 \| SOC 分析师 \| 蓝队爱好者
- GitHub: https://github.com/sureddyjithendrareddy
- LinkedIn: https://linkedin.com/in/sureddyjithendrareddy
⭐ 如果您觉得这个项目有帮助,请考虑给它点个 Star。
标签:Metaprompt, SSH监控, 免杀技术, 安全可视化, 安全运营, 扫描框架, 暴力破解检测