Ademuyiwa-Yinus/FinTech-Threat-Monitoring-Splunk
GitHub: Ademuyiwa-Yinus/FinTech-Threat-Monitoring-Splunk
基于 Splunk Enterprise 构建的金融科技威胁监控项目,通过 SPL 查询和交互式仪表盘调查可疑交易、检测欺诈指标并执行威胁狩猎。
Stars: 0 | Forks: 0
## 金融科技威胁监控与可疑交易调查
## 项目概述
本项目演示了如何使用 Splunk Enterprise 作为安全信息与事件管理(SIEM)平台,在一个模拟的 FinTech 环境中调查可疑的金融交易,并识别欺诈活动的指标。
本次调查主要通过 SPL 查询和交互式仪表盘,重点检测可疑的 IP 地址、与网络钓鱼相关的账户盗用、交易拆分(Structuring)以及协同攻击行为。
## 目标
- 调查可疑的交易活动。
- 检测金融欺诈的指标。
- 识别可疑的 IP 地址。
- 监控高风险用户。
- 使用 Splunk 仪表盘可视化安全事件。
- 使用 SPL 查询执行威胁狩猎。
## 使用的工具
- Splunk Enterprise
- Kali Linux
- Oracle VirtualBox
- 搜索处理语言(SPL)
- CSV 交易数据集
## 实验环境
| 组件 | 技术 |
|--------------------|---------------------|
| 操作系统 | Kali Linux |
| SIEM 平台 | Splunk Enterprise |
| 虚拟化 | Oracle VirtualBox |
| 数据集 | CSV 交易日志 |
## 数据集概述
数据集包含的交易记录如下:
- User ID
- IP 地址
- Device ID
- 交易类型
- 交易状态
- 时间戳
- 威胁标记
- 分析师备注
## 仪表盘功能
Splunk 仪表盘提供了以下内容的可视化:
- 攻击类别分布
- 交易类型分布
- 前 10 名活跃用户
- 可疑 IP 地址
- 威胁活动时间线
- 威胁类型分析
- 高风险用户排行
- 重复可疑 IP 活动
- 交易状态概览
## 主要发现
调查识别出以下内容:
- 低于报告阈值的可能交易拆分行为。
- 重复出现的可疑 IP 地址。
- 与网络钓鱼相关的账户盗用指标。
- 协同的“午夜互换”(Midnight Swap)攻击活动。
- 需要进一步调查的高风险用户。
## 展示的技能
- SIEM 监控
- 威胁狩猎
- SPL 查询开发
- 欺诈检测
- 日志分析
- 仪表盘可视化
- 检测工程
- 事件调查
- 威胁关联
- SOC 报告
## 建议
- 为可疑活动配置实时告警。
- 启用多因素认证(MFA)。
- 调查重复出现的可疑 IP 地址。
- 持续监控高风险用户。
- 改进交易监控规则。
- 更新 SPL 检测规则,以识别新型的攻击技术。
## 仪表盘截图
### 仪表盘概览 (1)

### 仪表盘概览 (2)

### 仪表盘概览 (3)

## SPL 查询
以下是用于构建仪表盘可视化并支持威胁狩猎活动的代表性 SPL 查询。
### 攻击类别分布

### 交易类型分布

### 活跃用户排行

### 可疑 IP 地址

### 威胁活动时间线

### 威胁类型分析

### 高风险用户排行

### 重复可疑 IP 活动

### 交易状态概览

## 仓库结构
```
FinTech-Threat-Monitoring-Splunk/
│
├── README.md
└── Screenshots/
├── dashboard-overview-1.png
├── dashboard-overview-2.png
├── dashboard-overview-3.png
├── spl-attack-category-distribution.png
├── spl-transaction-type-distribution.png
├── spl-top-active-users.png
├── spl-suspicious-ip-addresses.png
├── spl-threat-activity-timeline.png
├── spl-threat-type-analysis.png
├── spl-top-high-risk-users.png
├── spl-repeated-suspicious-ip-activity.png
└── spl-transaction-status-overview.png
```
## 结论
本项目演示了如何使用 Splunk Enterprise 在模拟的 FinTech 环境中调查可疑的金融交易、识别欺诈指标,并支持安全运营。
通过仪表盘可视化、SPL 查询和威胁狩猎技术,本次调查重点突出了可疑的 IP 活动、与网络钓鱼相关的账户盗用、交易拆分以及高风险用户行为。本项目巩固了实用的 SIEM 调查技能,并展示了数据驱动的安全监控和事件分析的价值。
## 未来改进
- 接入更多的威胁情报源。
- 对严重威胁实现自动化告警。
- 扩展检测规则,以覆盖更多攻击场景。
- 为用户和交易开发高级的风险评分机制。
## 作者
Ademuyiwa Yinus
初级 SOC 分析师 | SIEM | Splunk | 威胁狩猎 | 网络安全
标签:代码示例, 反欺诈, 数据分析, 金融安全