whoami-4047/ssh-brute-force-privilege-escalation-splunk

GitHub: whoami-4047/ssh-brute-force-privilege-escalation-splunk

该项目演示了如何在 Splunk SIEM 中检测和分析 SSH 暴力破解与权限提升攻击的完整 SOC 调查流程。

Stars: 0 | Forks: 0

# 使用 Splunk 进行 SSH 暴力破解检测与权限提升调查 ## 概述 本项目演示了在受控实验室环境中进行的完整 SOC 调查。在 Linux 服务器上模拟了 SSH 暴力破解攻击,随后进行了权限提升。使用 Splunk SIEM 收集、监控并调查了安全事件。 ## 目标 - 检测 SSH 暴力破解尝试 - 识别成功的身份验证 - 调查权限提升 - 检测对敏感文件的访问 - 使用 Splunk 分析 Linux 日志 - 将攻击者活动映射到 MITRE ATT&CK ## 实验环境 | 组件 | 技术 | |----------|------------| | 攻击者 | Kali Linux | | 目标 | Ubuntu Server | | SIEM | Splunk Enterprise | | 日志转发器 | Splunk Universal Forwarder | | 日志 | auth.log, audit.log | ## 使用的工具 - Splunk Enterprise - Kali Linux - Ubuntu Server - Splunk Universal Forwarder - Linux Audit Logs ## 攻击工作流 1. SSH 暴力破解攻击 2. 成功的身份验证 3. 权限提升 4. Root 命令执行 5. 访问 /etc/shadow 6. 事件调查 7. MITRE ATT&CK 映射 8. 修复 ## 展示的技能 - SIEM 监控 - 日志分析 - 威胁检测 - 事件调查 - Linux 安全监控 - MITRE ATT&CK - Cyber Kill Chain - Splunk SPL 查询 ## 报告 📄 **事件报告:** [SSH 暴力破解与权限提升调查报告](report/Incident_Report_SSH_Brute_Force_and_Privilege_Escalation.pdf) ## 截图 📂 **查看所有调查截图:** [截图](screenshots/) ## 作者 **Amir Mulla** SOC Analyst | Cybersecurity Analyst
标签:Linux监控, SSH暴力破解检测, Web报告查看器, 安全运营, 扫描框架