barkha-17/SOC-Security-Monitoring-Splunk

GitHub: barkha-17/SOC-Security-Monitoring-Splunk

基于 Splunk Enterprise 的 SOC 安全监控实验室,整合 Sysmon 和 Windows 事件日志实现端点威胁检测、可视化仪表板与自动化告警。

Stars: 0 | Forks: 0

# 🛡️ 使用 Splunk Enterprise 的安全运营中心 (SOC) 监控 这是一个使用 **Splunk Enterprise**、**Microsoft Sysmon**、**Windows Event Logs**、**Splunk Universal Forwarder** 和 **Kali Linux** 构建的实践性安全运营中心 (SOC) 实验室,旨在模拟真实环境下的安全监控、威胁检测、自动化告警和事件调查。 # 📖 项目概述 本项目演示了如何使用 **Splunk Enterprise** 作为安全信息和事件管理 (SIEM) 平台来实施安全运营中心 (SOC)。 该实验室旨在提供以下方面的实践经验: - 安全监控 - 日志收集与分析 - 端点监控 - 威胁检测 - 事件调查 - 仪表板开发 - 自定义 SPL 检测规则 - 自动化告警 该项目模拟了常见的网络攻击场景,并演示了如何在 SOC 环境中收集、分析和调查安全事件。 # 🎯 项目目标 - 部署 Splunk Enterprise - 配置 Splunk Universal Forwarder - 集成 Microsoft Sysmon - 收集 Windows 安全日志和 Sysmon 日志 - 构建 SOC 监控仪表板 - 创建自定义 SPL 检测规则 - 配置定时告警 - 使用 Kali Linux 模拟攻击 - 将检测结果映射到 MITRE ATT&CK 框架 # 🏗️ SOC 实验室架构 ``` Kali Linux VM │ ▼ Windows 10 VM (Sysmon + Windows Event Logs) │ ▼ Splunk Universal Forwarder │ ▼ Splunk Enterprise │ ▼ SOC Dashboard & Alerts ``` # 🛠️ 工具与技术 该 SOC 环境使用以下技术构建: - **Splunk Enterprise** – 安全信息和事件管理 (SIEM) - **Splunk Universal Forwarder** – 安全的日志转发 - **Microsoft Sysmon** – 高级端点遥测 - **Windows Event Logs** – Windows 原生安全日志记录 - **Windows 10** – 受监控的端点 - **Kali Linux** – 攻击模拟平台 - **SPL (Search Processing Language)** – 检测规则开发 - **MITRE ATT&CK Framework** – 威胁分类与映射 # 🔍 安全场景 该项目包含针对以下方面的检测和监控: - PowerShell 执行 - 失败的登录尝试 - 进程创建 - DNS 查询 - 网络连接 - 可疑进程 - Windows 安全事件 # 🚨 检测规则 开发了以下自定义检测规则: - PowerShell 执行检测 - 失败登录检测 - 进程创建检测 - DNS 查询检测 - 网络连接检测 - 可疑进程检测 - 注册表监控 - 安全事件监控 # 📊 仪表板功能 SOC 仪表板提供对以下指标的实时可见性: - 安全事件总数 - 失败的登录尝试 - 成功的登录 - 端点遥测 - 随时间变化的安全事件 - DNS 查询 - 网络连接 - 高频进程 - 高频主机 - 安全事件分布 # 🚨 告警 为以下项目配置了定时告警: - PowerShell 执行 - 失败的登录尝试 - DNS 查询检测 - 进程创建检测 - 网络连接检测 - 可疑进程检测 # 🎯 MITRE ATT&CK 映射 已实施的检测与 MITRE ATT&CK 框架保持一致,涵盖以下相关技术: - 初始访问 - 执行 - 持久化 - 防御规避 - 凭据获取 - 发现 - 命令与控制 # 🧠 展示技能 - 安全运营中心 (SOC) - SIEM 实施 - Splunk Enterprise - 威胁检测 - 威胁狩猎 - 事件调查 - Windows 事件监控 - Microsoft Sysmon - 日志分析 - SPL 查询开发 - 仪表板开发 - 告警工程 - MITRE ATT&CK 映射 # 📂 仓库结构 ``` SOC-Security-Monitoring-Splunk/ │ ├── Detection-Rules/ ├── Dashboards/ ├── Alerts/ ├── Documentation/ └── README.md ``` # 📚 参考 - Splunk 文档 - Microsoft Sysmon 文档 - MITRE ATT&CK 框架 - Microsoft Windows 安全文档 # 👨‍💻 作者 Barkha Shah 数字取证与网络安全理学硕士 GitHub: https://github.com/barkha-17 LinkedIn: https://linkedin.com/in/barkha-shah-24a912285/ ## 📬 反馈 如果您对本项目有任何建议或反馈,请随时在 LinkedIn 上与我联系,或在此仓库中提交一个 issue。 ⭐ 如果您觉得这个项目有趣,请考虑给它点个 Star。
标签:ATT&CK映射, 安全运营中心, 网络映射, 速率限制, 速率限制处理