Ademuyiwa-Yinus/FinTech-Threat-Monitoring-Splunk

GitHub: Ademuyiwa-Yinus/FinTech-Threat-Monitoring-Splunk

基于 Splunk Enterprise 构建的金融科技威胁监控项目,通过 SPL 查询和交互式仪表盘调查可疑交易、检测欺诈指标并执行威胁狩猎。

Stars: 0 | Forks: 0

## 金融科技威胁监控与可疑交易调查 ## 项目概述 本项目演示了如何使用 Splunk Enterprise 作为安全信息与事件管理(SIEM)平台,在一个模拟的 FinTech 环境中调查可疑的金融交易,并识别欺诈活动的指标。 本次调查主要通过 SPL 查询和交互式仪表盘,重点检测可疑的 IP 地址、与网络钓鱼相关的账户盗用、交易拆分(Structuring)以及协同攻击行为。 ## 目标 - 调查可疑的交易活动。 - 检测金融欺诈的指标。 - 识别可疑的 IP 地址。 - 监控高风险用户。 - 使用 Splunk 仪表盘可视化安全事件。 - 使用 SPL 查询执行威胁狩猎。 ## 使用的工具 - Splunk Enterprise - Kali Linux - Oracle VirtualBox - 搜索处理语言(SPL) - CSV 交易数据集 ## 实验环境 | 组件 | 技术 | |--------------------|---------------------| | 操作系统 | Kali Linux | | SIEM 平台 | Splunk Enterprise | | 虚拟化 | Oracle VirtualBox | | 数据集 | CSV 交易日志 | ## 数据集概述 数据集包含的交易记录如下: - User ID - IP 地址 - Device ID - 交易类型 - 交易状态 - 时间戳 - 威胁标记 - 分析师备注 ## 仪表盘功能 Splunk 仪表盘提供了以下内容的可视化: - 攻击类别分布 - 交易类型分布 - 前 10 名活跃用户 - 可疑 IP 地址 - 威胁活动时间线 - 威胁类型分析 - 高风险用户排行 - 重复可疑 IP 活动 - 交易状态概览 ## 主要发现 调查识别出以下内容: - 低于报告阈值的可能交易拆分行为。 - 重复出现的可疑 IP 地址。 - 与网络钓鱼相关的账户盗用指标。 - 协同的“午夜互换”(Midnight Swap)攻击活动。 - 需要进一步调查的高风险用户。 ## 展示的技能 - SIEM 监控 - 威胁狩猎 - SPL 查询开发 - 欺诈检测 - 日志分析 - 仪表盘可视化 - 检测工程 - 事件调查 - 威胁关联 - SOC 报告 ## 建议 - 为可疑活动配置实时告警。 - 启用多因素认证(MFA)。 - 调查重复出现的可疑 IP 地址。 - 持续监控高风险用户。 - 改进交易监控规则。 - 更新 SPL 检测规则,以识别新型的攻击技术。 ## 仪表盘截图 ### 仪表盘概览 (1) ![仪表盘概览 1](https://static.pigsec.cn/wp-content/uploads/repos/cas/02/02aee432373bfe0b40f8f4ef3ea9c1183933f7e2f62dd9b84b45e3e577454f71.png) ### 仪表盘概览 (2) ![仪表盘概览 2](https://static.pigsec.cn/wp-content/uploads/repos/cas/fe/fe6e570028751222b763020270f01acbb4afe3f775a6d3a3688e1e8add1d972e.png) ### 仪表盘概览 (3) ![仪表盘概览 3](https://static.pigsec.cn/wp-content/uploads/repos/cas/3a/3af3e866eeb0565f353fe9d903158033b0afc95707860b7a0ee27a2dcd584a88.png) ## SPL 查询 以下是用于构建仪表盘可视化并支持威胁狩猎活动的代表性 SPL 查询。 ### 攻击类别分布 ![攻击类别分布](https://static.pigsec.cn/wp-content/uploads/repos/cas/3b/3bcba0dbd3ff5f6772b0909de0fd4478111a2d38a1fbfca2c1595b23458a23a4.png) ### 交易类型分布 ![交易类型分布](https://static.pigsec.cn/wp-content/uploads/repos/cas/b9/b92b3b825502ab64ed6d4e66ff071665a64ff078ca25367fdaaf7f6fd9bac4e3.png) ### 活跃用户排行 ![活跃用户排行](https://static.pigsec.cn/wp-content/uploads/repos/cas/0f/0ffa5fd4177e895881ba2779df4a1d8611c7b6a41c619074558938ac329f75b0.png) ### 可疑 IP 地址 ![可疑 IP 地址](https://static.pigsec.cn/wp-content/uploads/repos/cas/43/430e003cfa212caa03c842c691fbcca37c551aa2cc34ff8cb6cdcdc4ddc51815.png) ### 威胁活动时间线 ![威胁活动时间线](https://static.pigsec.cn/wp-content/uploads/repos/cas/af/afbc9710ebd73e7b8c9a6d631680c022013d15f3e4026bf060b462032152cb9e.png) ### 威胁类型分析 ![威胁类型分析](https://static.pigsec.cn/wp-content/uploads/repos/cas/a0/a04a358a034d7a19444d23709b1439a83501286db49452eec76a79d1f217229a.png) ### 高风险用户排行 ![高风险用户排行](https://static.pigsec.cn/wp-content/uploads/repos/cas/8d/8d2d698fbfa3385390abec3dc71abaa0b4997b8d67d74d01c54e304d1042cca0.png) ### 重复可疑 IP 活动 ![重复可疑 IP 活动](https://static.pigsec.cn/wp-content/uploads/repos/cas/f4/f4ba43fdf4e85fc1e8774aedd134ad15f6a266ae0ab3f3b63b1f41194653a473.png) ### 交易状态概览 ![交易状态概览](https://static.pigsec.cn/wp-content/uploads/repos/cas/5b/5bc165fece8c07ea9f173ce61bc95eeda6677f7fd7162e43d715dbde889e2c21.png) ## 仓库结构 ``` FinTech-Threat-Monitoring-Splunk/ │ ├── README.md └── Screenshots/ ├── dashboard-overview-1.png ├── dashboard-overview-2.png ├── dashboard-overview-3.png ├── spl-attack-category-distribution.png ├── spl-transaction-type-distribution.png ├── spl-top-active-users.png ├── spl-suspicious-ip-addresses.png ├── spl-threat-activity-timeline.png ├── spl-threat-type-analysis.png ├── spl-top-high-risk-users.png ├── spl-repeated-suspicious-ip-activity.png └── spl-transaction-status-overview.png ``` ## 结论 本项目演示了如何使用 Splunk Enterprise 在模拟的 FinTech 环境中调查可疑的金融交易、识别欺诈指标,并支持安全运营。 通过仪表盘可视化、SPL 查询和威胁狩猎技术,本次调查重点突出了可疑的 IP 活动、与网络钓鱼相关的账户盗用、交易拆分以及高风险用户行为。本项目巩固了实用的 SIEM 调查技能,并展示了数据驱动的安全监控和事件分析的价值。 ## 未来改进 - 接入更多的威胁情报源。 - 对严重威胁实现自动化告警。 - 扩展检测规则,以覆盖更多攻击场景。 - 为用户和交易开发高级的风险评分机制。 ## 作者 Ademuyiwa Yinus 初级 SOC 分析师 | SIEM | Splunk | 威胁狩猎 | 网络安全
标签:代码示例, 反欺诈, 数据分析, 金融安全