laibamaryam707/Windows-SOC-Lab
GitHub: laibamaryam707/Windows-SOC-Lab
基于 Splunk 与 Sysmon 构建的 Windows 安全运营中心监控实验室,提供端点遥测采集、日志集中分析、可视化仪表板及威胁狩猎查询的完整实验环境。
Stars: 1 | Forks: 0
# Windows SOC 监控实验室
## 概述
本项目演示了如何使用 Splunk Enterprise、Sysmon、Splunk Universal Forwarder 和 VMware Workstation 构建 Windows 安全运营中心 (SOC) 监控实验室。
该实验室通过 Sysmon 遥测数据提供集中的 Windows 端点监控,支持日志分析、告警分发、威胁狩猎和安全调查。项目中开发了一个自定义的 Splunk 仪表板,用于可视化安全事件并辅助事件分析。
## 目标
- 构建 Windows 端点监控实验室
- 在 Splunk 中收集并集中管理 Sysmon 日志
- 开发实时安全监控仪表板
- 创建用于端点可见性的 SPL 查询
- 执行安全调查和基础威胁狩猎
## 实验室架构
```
Windows 11 Virtual Machine
│
▼
Sysmon
│
▼
Splunk Universal Forwarder
│
▼
Splunk Enterprise
│
▼
Windows SOC Monitoring Dashboard
```
## 技术栈
- Splunk Enterprise
- Splunk Universal Forwarder
- Sysmon
- VMware Workstation
- Windows 11
- PowerShell
- SPL (Search Processing Language)
## 仪表板功能
- 安全事件总数
- 进程创建监控
- 文件创建监控
- PowerShell 活动
- 命令提示符活动
- 活动主机
- 排名靠前的用户
- 事件时间线
- 排名靠前的进程
- 高风险进程
- 事件严重程度分布
- MITRE ATT&CK 技术映射
- 最近的 Sysmon 事件
## 仪表板预览

## 仓库结构
```
Windows-SOC-Lab
│
├── Dashboard
├── Investigations
├── Lab Setup
├── Screenshots
├── SPL Queries
└── README.md
```
## 展示技能
- SIEM 监控
- Splunk 仪表板开发
- SPL 查询开发
- Windows 事件分析
- Sysmon 监控
- 日志分析
- 告警分发
- 威胁狩猎
- 事件调查
- IOC 分析
- 数字取证基础
## 未来增强计划
计划通过以下调查来扩展该实验室:
- 编码的 PowerShell 检测
- 计划任务持久化
- 注册表持久化
- 网络连接分析 (Sysmon Event ID 3)
- IOC 关联
- 高级威胁狩猎
- 额外的 MITRE ATT&CK 检测规则
## 作者
**Laiba Maryam**
网络安全 | SOC 分析师 | 数字取证 | 威胁狩猎
标签:AI合规, Sysmon, 安全运营, 扫描框架