whoami-4047/ssh-brute-force-privilege-escalation-splunk
GitHub: whoami-4047/ssh-brute-force-privilege-escalation-splunk
该项目演示了如何在 Splunk SIEM 中检测和分析 SSH 暴力破解与权限提升攻击的完整 SOC 调查流程。
Stars: 0 | Forks: 0
# 使用 Splunk 进行 SSH 暴力破解检测与权限提升调查
## 概述
本项目演示了在受控实验室环境中进行的完整 SOC 调查。在 Linux 服务器上模拟了 SSH 暴力破解攻击,随后进行了权限提升。使用 Splunk SIEM 收集、监控并调查了安全事件。
## 目标
- 检测 SSH 暴力破解尝试
- 识别成功的身份验证
- 调查权限提升
- 检测对敏感文件的访问
- 使用 Splunk 分析 Linux 日志
- 将攻击者活动映射到 MITRE ATT&CK
## 实验环境
| 组件 | 技术 |
|----------|------------|
| 攻击者 | Kali Linux |
| 目标 | Ubuntu Server |
| SIEM | Splunk Enterprise |
| 日志转发器 | Splunk Universal Forwarder |
| 日志 | auth.log, audit.log |
## 使用的工具
- Splunk Enterprise
- Kali Linux
- Ubuntu Server
- Splunk Universal Forwarder
- Linux Audit Logs
## 攻击工作流
1. SSH 暴力破解攻击
2. 成功的身份验证
3. 权限提升
4. Root 命令执行
5. 访问 /etc/shadow
6. 事件调查
7. MITRE ATT&CK 映射
8. 修复
## 展示的技能
- SIEM 监控
- 日志分析
- 威胁检测
- 事件调查
- Linux 安全监控
- MITRE ATT&CK
- Cyber Kill Chain
- Splunk SPL 查询
## 报告
📄 **事件报告:**
[SSH 暴力破解与权限提升调查报告](report/Incident_Report_SSH_Brute_Force_and_Privilege_Escalation.pdf)
## 截图
📂 **查看所有调查截图:**
[截图](screenshots/)
## 作者
**Amir Mulla**
SOC Analyst | Cybersecurity Analyst
标签:Linux监控, SSH暴力破解检测, Web报告查看器, 安全运营, 扫描框架