gbhishm/splunk-siem-log-monitoring

GitHub: gbhishm/splunk-siem-log-monitoring

基于 Splunk Enterprise 的 SIEM 实验室项目,用于监控和分析 Windows 安全日志中的身份验证事件与可疑活动。

Stars: 0 | Forks: 0

# Splunk SIEM 日志监控 ![Splunk](https://img.shields.io/badge/SIEM-Splunk-orange) ![Platform](https://img.shields.io/badge/Platform-Windows-blue) ![Status](https://img.shields.io/badge/Status-Completed-brightgreen) ## 项目概述 本项目展示了如何实现一个 Splunk SIEM 实验室环境,用于监控 Windows 安全事件并进行安全日志分析。 该项目主要侧重于检测身份验证事件、登录失败尝试、可疑活动,并使用 Splunk Search Processing Language (SPL) 分析安全日志。 ## 目标 - 配置 Splunk Enterprise - 分析 Windows 安全日志 - 监控身份验证事件 - 检测登录失败尝试 - 执行安全日志分析 - 调查安全告警 - 实践 SOC 监控工作流 ## 展示技能 - Splunk Enterprise - SIEM 监控 - Windows 安全日志 - 日志分析 - 威胁狩猎 - SPL 查询 - 事件调查 - SOC 运营 ## 使用工具 - Splunk Enterprise - Windows 安全日志 - Search & Reporting App ## 项目工作流 1. 配置 Splunk 2. 审查安全日志 3. 搜索身份验证事件 4. 检测登录失败 5. 调查可疑活动 6. 分析安全事件 7. 记录发现结果 ## 仓库结构 ``` docs/ detections/ queries/ reports/ screenshots/ ``` ## 截图 screenshots 目录包含了在调查过程中截取的截图。 ## 学习成果 - Windows 安全日志分析 - 身份验证监控 - 登录失败检测 - SPL 查询开发 - SOC 调查工作流 - 安全事件分析 ## 作者 **Gaurav Kr. Bhishm** SOC 分析师 | 网络安全 | Splunk | Windows 安全 | 网络
标签:SPL查询, Windows安全日志, 安全运营, 扫描框架