sauravmagar0001-ai/Enterprise-soc-analyst-splunk-investigation-lab-

GitHub: sauravmagar0001-ai/Enterprise-soc-analyst-splunk-investigation-lab-

基于 Splunk 的企业 SOC L2 威胁检测与事件调查实验室,通过合成多源遥测数据模拟完整的多阶段攻击链,帮助分析师练习从告警分发到事件响应的全流程技能。

Stars: 0 | Forks: 0

# 企业 SOC L2 威胁检测与事件调查实验室 ![Splunk](https://img.shields.io/badge/Splunk-Enterprise%20Security-black?style=flat-square&logo=splunk&logoColor=white) ![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK%20Aligned-red?style=flat-square) ![Log Sources](https://img.shields.io/badge/Log%20Sources-11%20Types-blue?style=flat-square) ![SPL Detections](https://img.shields.io/badge/SPL%20Detections-10%20Use%20Cases-orange?style=flat-square) ![Status](https://img.shields.io/badge/Status-Lab%20Complete-brightgreen?style=flat-square) ![Purpose](https://img.shields.io/badge/Purpose-Portfolio%20%26%20Learning-purple?style=flat-square) ## 概述 这是一个基于 Splunk 的 SOC L1 到 L2 调查实验室,模拟了真实的企业威胁检测和事件响应工作流。 该实验室从一个可见的告警开始——**多次失败的身份验证尝试**——并要求分析师通过 11 个模拟遥测数据源进行追踪,揭示一个多阶段的攻击链,涵盖凭证暴力破解、端点攻陷、C2 风格的 Beaconing、权限提升、横向移动和模拟的数据窃取。 完整的实验室语料库包含跨越身份验证、端点、网络、电子邮件、EDR 风格、威胁情报、资产和身份遥测的**数千条模拟安全事件**。公开仓库仅包含代表性样本。 ## 本实验室涵盖内容 | 领域 | 练习技能 | |---|---| | **告警分发** | L1 告警审查,严重性评估,初步范围界定 | | **身份验证分析** | 暴力破解检测,失败后成功的关联分析 | | **端点调查** | Sysmon 进程链,PowerShell 指标,LOLBin 模式 | | **网络分析** | 防墙流量审查,Beaconing 启发式分析,外发传输 | | **身份与资产上下文** | 权限分析,资产关键性,用户扩充 | | **威胁情报** | 通过 lookup 进行 IOC 匹配,基于指标的追踪 | | **电子邮件安全** | 与网络钓鱼相关的邮件关联分析 | | **检测工程** | SPL 用例编写、调优和文档记录 | | **威胁狩猎** | 超越初始告警的假设驱动调查 | | **事件文档记录** | 时间线重建,升级工单,IR 报告 | ## 调查场景 分析师从一个可见的检测开始: ``` Alert: Multiple Failed Authentication Attempts User: sjenkins Source: 10.20.10.142 (SOC-WKS-084) Target: 10.20.20.10 (SOC-DC-01 — Domain Controller) Failures: 25 in a 5-minute window Severity: Medium ``` 目标是确定——仅使用有证据支持的追踪——此告警是: - 误报(用户被锁定,应用配置错误) - 孤立的凭证攻击 - 更广泛的多阶段攻陷的入口点 ## 包含的遥测数据源 | 数据源 | 文件 | 描述 | |---|---|---| | Windows 身份验证 | `windows_auth.csv` | 登录事件 (4624, 4625, 4728) | | Sysmon 进程事件 | `sysmon_process.csv` | 进程执行,父子进程链,命令行 | | 防火墙流量 | `firewall_traffic.csv` | 网络连接,方向,字节,端口 | | VPN 身份验证 | `vpn_auth.csv` | 远程访问会话,源 IP | | 代理 / Web | `proxy_web.csv` | 外发 Web 请求,域名,user agent | | DNS 查询 | `dns_queries.csv` | 每台主机的域名解析活动 | | EDR 风格告警 | `edr_alerts.csv` | 具有严重性和上下文的端点安全告警 | | 电子邮件安全 | `email_security.csv` | 投递事件,可疑邮件标志 | | 威胁情报 | `threat_intel_iocs.csv` | IOC lookup 表(IP,域名,分类) | | 资产清单 | `asset_inventory.csv` | 主机角色,关键性,所有者 | | 身份上下文 | `identity_context.csv` | 用户角色,部门,权限级别 | 所有样本文件位于 `datasets/sample/` 中。 ## SPL 检测用例 包含 10 个 SPL 检测和调查搜索,涵盖: | # | 检测 | 技术 | |---|---|---| | 1 | 多次失败的身份验证尝试 | 凭证暴力破解 | | 2 | 多次失败后成功登录 | 账户攻陷 | | 3 | 可疑的 PowerShell / 编码命令 | 防御规避 / 执行 | | 4 | 罕见的父子进程链 | 异常执行 | | 5 | 代理 IOC 匹配 | 命令与控制 | | 6 | DNS IOC 匹配 | C2 / 数据窃取域名 | | 7 | 周期性外发 Beaconing 启发式分析 | C2 Beaconing | | 8 | 特权组成员身份更改 | 权限提升 | | 9 | 针对关键服务器的横向移动候选者 | 横向移动 | | 10 | 异常的外发传输 | 数据窃取 | ## 调查工作流 (L1 → L2) `investigations/` 中引导式的 16 步工作流涵盖了: 1. 初始告警审查和范围界定 2. 身份扩充 3. 资产关键性检查 4. 身份验证历史分析 5. 端点进程调查 6. PowerShell 和命令行分析 7. 代理和 DNS 追踪 8. 电子邮件安全关联 9. EDR 风格的告警分发 10. 防火墙和 VPN 调查 11. 权限更改分析 12. 关键服务器访问审查 13. 外发传输分析 14. 事件时间线重建 15. 误报评估 16. L1 到 L2 的升级决策 ## MITRE ATT&CK 覆盖范围 | 战术 | 模拟的技术 | |---|---| | 初始访问 | 钓鱼 (T1566) | | 凭证访问 | 暴力破解 (T1110), OS 凭证转储 (T1003) | | 防御规避 | 混淆文件 (T1027), 编码命令 (T1027.010) | | 执行 | PowerShell (T1059.001) | | 持久化 | 账户操纵 (T1098) | | 权限提升 | 有效账户 (T1078) | | 横向移动 | 远程服务 (T1021) | | 命令与控制 | 应用层协议 (T1071) | | 窃取 | 通过 C2 通道的窃取 (T1041) | ## 仓库结构 ``` enterprise-soc-l2-splunk-investigation-lab/ ├── architecture/ # Synthetic SOC design, log flow, subnet map ├── datasets/ │ ├── sample/ # Representative synthetic CSV samples (all 11 sources) │ └── README.md # Dataset field reference ├── detections/ # SPL detection and investigation use cases ├── investigations/ # Guided L1-to-L2 investigation workflow ├── dashboards/ # Splunk dashboard XML configuration ├── reports/ # Incident and investigation report templates ├── tickets/ # L1-to-L2 escalation ticket templates ├── splunk/ # Ingestion guide for Splunk Free / Trial └── screenshots/ # Personally executed Splunk search evidence only ``` ## 模拟实验室环境 | 资产 | 主机名 | IP 地址 | 角色 | |---|---|---|---| | 域控制器 | SOC-DC-01 | 10.20.20.10 | 身份验证机构 | | DNS 服务器 | SOC-DNS-01 | 10.20.20.11 | 内部 DNS | | 应用服务器 | SOC-SRV-APP01 | 10.20.20.20 | 内部应用 | | SQL 数据库 | SOC-SRV-SQL01 | 10.20.20.30 | 关键数据存储 | | 分析师工作站 | SOC-WKS-084 | 10.20.10.142 | 被攻陷的用户端点 | | 管理员工作站 | SOC-WKS-012 | 10.20.10.112 | 管理员用户端点 | | VPN 网关 | SOC-VPN-01 | 192.168.20.20 | 远程访问 | | 公共 Web 服务器 | SOC-WEB-01 | 192.168.20.30 | DMZ Web 服务器 | | Splunk SIEM | SOC-SPL-01 | 10.20.30.10 | 安全监控 | 域名:`soc-lab.local` — 所有钓鱼和 C2 指标均使用保留的 `.example` TLD。 ## 展示的技能 ``` SOC Alert Triage Splunk SPL Authoring Security Log Analysis Multi-Source Correlation Windows Auth Investigation Endpoint Process Analysis Network Traffic Analysis VPN & Remote Access Review Proxy & DNS Investigation EDR Alert Triage Email Security Correlation IOC Enrichment & Lookup Detection Engineering Threat Hunting False-Positive Analysis Incident Timeline Build L1-to-L2 Escalation Logic MITRE ATT&CK Mapping IR Documentation Containment Recommendations Evidence-Based Pivoting ``` ## 开始使用 1. 克隆此仓库 2. 按照 `splunk/ingestion-guide.md` 将样本 CSV 加载到 Splunk Free 或 Trial 中 3. 打开 `investigations/analyst-mission.md` — 这是你的起始简报 4. 完成 `investigations/phase3-guided-investigation.md` 5. 使用 `detections/phase3-detection-pack.md` 中的 SPL 运行你的搜索 6. 在你做出升级决策之前,**不要**打开 `answer-key/` ## 免责声明 创建此仓库严格用于防御性网络安全学习、SOC 动手实践和作品集展示。 所有用户、IP 地址、主机名、事件、告警和场景均为完全模拟和仿真。不包含或引用任何真实的客户数据、生产系统、客户环境或真实世界的违规数据。 本项目不代表专业的 SOC 工作经验、真实的事件调查或真实的客户业务合作。
标签:AMSI绕过, PE 加载器, Web报告查看器, 威胁检测, 安全运营, 扫描框架