nmanoj9/SOC-Project-4-Splunk-SOC-Investigation-Lab

GitHub: nmanoj9/SOC-Project-4-Splunk-SOC-Investigation-Lab

该项目展示了基于 Splunk Enterprise 对 Windows 安全日志与 Sysmon 遥测数据进行端到端 SOC 调查的完整实验流程。

Stars: 0 | Forks: 0

## SOC 项目 04 — 端到端 Splunk SOC 调查实验室 ## 概述 本项目展示了一个使用 Splunk Enterprise 和 Windows 事件日志的端到端安全运营中心 (SOC) 调查。该实验室重点关注身份验证监控、暴力破解检测、Sysmon 遥测分析、事件关联,以及遵循结构化 SOC 调查流程的安全调查。 调查包括失败登录分析、成功身份验证验证、特权登录、进程创建监控、网络连接分析、进程终止事件以及 MITRE ATT&CK 映射。 # 目录 - [概述](#overview) - [目标](#objectives) - [实验环境](#lab-environment) - [使用工具](#tools-used) - [实验架构](#lab-architecture) - [调查流程](#investigation-workflow) - [Windows 安全日志分析](#windows-security-log-analysis) - [Sysmon 调查](#sysmon-investigation) - [事件关联](#event-correlation) - [检测逻辑](#detection-logic) - [MITRE ATT&CK 映射](#mitre-attck-mapping) - [Splunk 搜索查询](#splunk-search-queries) - [截图](#screenshots) - [关键发现](#key-findings) - [展示技能](#skills-demonstrated) - [项目结构](#project-structure) - [参考资料](#references) ## 目标 - 验证 Windows 安全日志成功接入 Splunk - 验证 Sysmon 日志成功接入 - 调查失败的身份验证尝试 - 分析成功的登录事件 - 检测暴力破解活动 - 调查 Sysmon 进程创建事件 - 调查 Sysmon 网络连接事件 - 调查 Sysmon 进程终止事件 - 关联安全日志和 Sysmon 日志 - 以 SOC 分析师身份记录调查发现 ## 实验环境 | 组件 | 详情 | |-----------|---------| | SIEM | Splunk Enterprise | | 端点 | Windows 11 | | 日志源 | Windows 安全日志 | | 遥测 | Sysmon | | 日志转发器 | Splunk Universal Forwarder | | 调查平台 | Splunk Search & Reporting | ## 数据集 本次调查使用的是从 Windows 11 虚拟机收集的本地生成的 Windows 安全日志和 Sysmon 遥测数据。日志通过 Splunk Universal Forwarder 转发到 Splunk Enterprise。身份验证事件和端点遥测数据是在受控的实验环境中为了分析目的而生成的。 ## 使用工具 - Splunk Enterprise - Splunk Universal Forwarder - Sysmon - Windows 事件查看器 - Windows 安全日志 - Windows 11 # 实验架构 ``` +-------------------------+ | Windows 11 VM | |-------------------------| | • Windows Security Logs | | • Sysmon | +------------+------------+ | | Splunk Universal Forwarder | v +-------------------------+ | Splunk Enterprise | |-------------------------| | • Log Ingestion | | • Search & Reporting | | • SPL Queries | | • Event Correlation | +------------+------------+ | v +-------------------------+ | Security Investigation | |-------------------------| | • Authentication | | • Brute Force Detection | | • Sysmon Analysis | | • MITRE ATT&CK Mapping | +-------------------------+ ``` ### 架构概述 Windows 11 系统生成了 Windows 安全和 Sysmon 事件,这些事件通过 Splunk Universal Forwarder 转发到 Splunk Enterprise。使用 Splunk 搜索、分析和关联收集到的日志,以调查身份验证活动、检测暴力破解行为、分析端点遥测数据,并记录调查结果。 # 调查流程 本次调查遵循结构化的流程,以验证日志接入、分析身份验证活动、调查端点遥测数据,并关联多个日志源来重建观察到的活动。 ``` Windows Security Logs │ ▼ Validate Log Ingestion │ ▼ Authentication Analysis (4625 → 4624 → 4672) │ ▼ Brute Force Detection │ ▼ Sysmon Analysis (Event ID 1 → Event ID 3 → Event ID 5) │ ▼ Event Correlation │ ▼ MITRE ATT&CK Mapping │ ▼ Investigation Findings ``` 工作流程从验证 Windows 安全日志和 Sysmon 事件是否已成功接入 Splunk Enterprise 开始。然后分析身份验证事件,以识别失败和成功的登录尝试,随后使用 SPL 查询进行暴力破解检测。对 Sysmon 遥测数据进行了调查,以检查进程创建、网络连接和进程终止情况。最后,将 Windows 安全日志和 Sysmon 事件进行关联,重建完整的活动时间线并记录调查结果。 # Windows 安全日志分析 通过分析 Windows 安全事件来调查身份验证活动,并确定观察到的登录代表的是正常行为还是潜在的安全隐患。 ## 登录失败 – Event ID 4625 调查从 Event ID 4625 开始,以识别失败的身份验证尝试。在短时间内观察到了来自本地系统的多次失败交互式登录。这些事件是在实验室期间故意生成的,以模拟重复的身份验证失败。 **收集的证据** - 失败登录事件 - 失败登录分析 ## 登录成功 – Event ID 4624 在登录失败尝试之后,对 Event ID 4624 进行了分析,以确定身份验证最终是否成功。调查确认,在失败尝试之后出现了成功的缓存交互式登录。 **收集的证据** - 成功登录详情 - 成功登录分析 ## 分配特殊权限 – Event ID 4672 审查了 Event ID 4672,以验证身份验证后是否分配了管理权限。调查确认,Windows 向已通过身份验证的会话分配了预期的管理权限。 **收集的证据** - 分配特殊权限0 # 暴力破解检测 通过对重复的身份验证失败尝试进行分析,以确定观察到的活动是否符合暴力破解攻击模式。使用自定义的 SPL 查询将五分钟时间窗口内的登录失败事件进行分组,并识别针对同一账户的重复尝试。 ## 检测逻辑 该检测规则监控 Windows 安全 Event ID 4625,并在五分钟内同一账户记录了四次或更多次登录失败尝试时生成警报。 ## 调查总结 调查确定了源自同一 IP 地址的连续四次交互式登录失败尝试。该活动符合配置的检测规则,并演示了如何使用 Splunk SPL 识别重复的身份验证失败。 ## 收集的证据 - 暴力破解检测 - 失败原因分析 - 攻击时间线 - 检测规则 # Sysmon 调查 通过分析 Sysmon 遥测数据来调查身份验证后的端点活动。调查重点关注进程创建、网络通信和进程终止,以更好地了解系统行为。 ## Event ID 1 – 进程创建 审查了 Sysmon Event ID 1 以识别新创建的进程。调查确认 **notepad.exe** 由 **explorer.exe** 启动,表明这是通过 Windows 图形界面进行的正常用户驱动执行。 **收集的证据** - 进程创建详情 - 进程创建 (Notepad) ## Event ID 3 – 网络连接 分析了 Sysmon Event ID 3 以识别发起网络连接的进程。观察到的活动显示 **chrome.exe** 使用 IPv6 多播地址通过 UDP 端口 **5353** 进行通信,这与多播 DNS (mDNS) 流量一致。 **收集的证据** - 网络连接详情 - 网络连接搜索 ## Event ID 5 – 进程终止 调查了 Sysmon Event ID 5 以验证进程终止,并将其与之前观察到的进程创建事件进行关联。匹配的进程 ID (Process ID) 和进程 GUID (Process GUID) 确认了进程的完整生命周期。 **收集的证据** - 进程终止搜索 - 进程终止详情 # 事件关联 单个事件提供了有用的信息,但关联多个日志源可以更全面地了解系统活动。在本次调查中,将 Windows 安全日志和 Sysmon 事件进行了关联,以重建在实验室中观察到的操作顺序。 ## 关联时间线 | 时间 | 事件 | |------|-------| | 10:56:15 AM | Event ID 4625 – 登录失败 | | 10:56:38 AM | Event ID 4624 – 登录成功 | | 10:56:38 AM | Event ID 4672 – 分配管理权限 | | 10:57:24 AM | Sysmon Event ID 1 – 进程创建 | | 10:57:52 AM | Sysmon Event ID 3 – 网络连接 | | 10:58:00 AM | Sysmon Event ID 5 – 进程终止 | ## 调查结果 通过将身份验证事件与 Sysmon 遥测数据相关联,重建了完整的活动顺序。调查确认了一个受控的实验室场景,包括重复的登录失败尝试、成功身份验证、分配管理权限、正常进程执行、网络通信以及进程终止。未发现任何恶意活动的迹象。 # MITRE ATT&CK 映射 在适当的情况下,将观察到的活动映射到了 MITRE ATT&CK 框架。仅对收集证据支持的行为进行了映射,以避免将正常的 Windows 活动与对手技术联系起来。 | 技术 ID | 技术 | 证据 | |--------------|-----------|----------| | T1110 | 暴力破解 | 多次身份验证失败尝试 (Event ID 4625) | | T1078 | 有效账户 | 重复登录失败尝试后出现的成功身份验证 (Event ID 4624) | **注意:** Event ID 4672 和观察到的 Sysmon 事件未进行映射,因为它们代表了实验室期间操作系统的预期行为,并不表示存在恶意活动。 # Splunk 搜索查询 本代码库包含了整个调查过程中使用的 SPL 查询。 - 身份验证调查查询 - 暴力破解检测查询 - Sysmon 调查查询 这些查询演示了如何使用 Splunk 搜索处理语言 (SPL) 来调查身份验证事件、检测重复的登录失败、分析 Sysmon 遥测数据以及关联多个日志源。 # 关键发现 - 成功验证 Windows 安全日志接入 Splunk。 - 成功验证 Sysmon 日志接入 Splunk。 - 调查了失败和成功的身份验证事件。 - 使用自定义的 SPL 检测规则检测了重复的登录失败尝试。 - 调查了 Sysmon 进程创建、网络连接和进程终止事件。 - 将 Windows 安全日志与 Sysmon 遥测数据相关联,重建了调查时间线。 - 在适当的情况下将观察到的活动映射到了 MITRE ATT&CK 框架。 # 展示技能 - 安全事件日志分析 - Splunk 搜索处理语言 (SPL) - 身份验证调查 - 暴力破解检测 - Windows 安全日志分析 - Sysmon 调查 - 事件关联 - 威胁检测 - MITRE ATT&CK 映射 - 安全调查文档编写 # 项目结构 ``` SOC-Project-4-Splunk-SOC-Investigation-Lab │ ├── Documentation │ ├── 01_Windows_Security_Log_Analysis.md │ ├── 02_Brute_Force_Detection.md │ ├── 03_Sysmon_Investigation.md │ ├── 04_Event_Correlation.md │ └── 05_MITRE_ATTACK_Mapping.md │ ├── Queries │ ├── 01_Authentication_Queries.spl │ ├── 02_Brute_Force_Queries.spl │ └── 03_Sysmon_Queries.spl │ ├── Screenshots │ ├── Authentication │ ├── Bruteforce │ ├── Correlation │ └── Sysmon │ └── README.md ``` # 截图 本代码库包含以下支持性截图演示: - Windows 安全 Event ID 4625 (登录失败) - Windows 安全 Event ID 4624 (登录成功) - Windows 安全 Event ID 4672 (分配特殊权限) - Sysmon Event ID 1 (进程创建) - Sysmon Event ID 3 (网络连接) - Sysmon Event ID 5 (进程终止) - 暴力破解检测 - 身份验证事件时间线 # 参考资料 - Microsoft Windows 安全审计 - Microsoft Sysmon - Splunk Enterprise 文档 - MITRE ATT&CK 框架 ## 结论 本项目通过结合 Windows 安全日志和 Sysmon 遥测数据,展示了一个使用 Splunk Enterprise 的完整 SOC 调查工作流。调查涵盖了身份验证分析、暴力破解检测、端点活动监控、事件关联以及 MITRE ATT&CK 映射。它增强了在日志分析、SPL 查询开发、调查文档编写和结构化事件分析方面的实用技能,同时强化了在安全调查期间关联多个数据源的重要性。
标签:AMSI绕过, IP 地址批量处理, Sysmon, 威胁检测, 安全运营, 扫描框架, 红队行动, 网络信息收集