barkha-17/SOC-Security-Monitoring-Splunk
GitHub: barkha-17/SOC-Security-Monitoring-Splunk
基于 Splunk Enterprise 的 SOC 安全监控实验室,整合 Sysmon 和 Windows 事件日志实现端点威胁检测、可视化仪表板与自动化告警。
Stars: 0 | Forks: 0
# 🛡️ 使用 Splunk Enterprise 的安全运营中心 (SOC) 监控
这是一个使用 **Splunk Enterprise**、**Microsoft Sysmon**、**Windows Event Logs**、**Splunk Universal Forwarder** 和 **Kali Linux** 构建的实践性安全运营中心 (SOC) 实验室,旨在模拟真实环境下的安全监控、威胁检测、自动化告警和事件调查。
# 📖 项目概述
本项目演示了如何使用 **Splunk Enterprise** 作为安全信息和事件管理 (SIEM) 平台来实施安全运营中心 (SOC)。
该实验室旨在提供以下方面的实践经验:
- 安全监控
- 日志收集与分析
- 端点监控
- 威胁检测
- 事件调查
- 仪表板开发
- 自定义 SPL 检测规则
- 自动化告警
该项目模拟了常见的网络攻击场景,并演示了如何在 SOC 环境中收集、分析和调查安全事件。
# 🎯 项目目标
- 部署 Splunk Enterprise
- 配置 Splunk Universal Forwarder
- 集成 Microsoft Sysmon
- 收集 Windows 安全日志和 Sysmon 日志
- 构建 SOC 监控仪表板
- 创建自定义 SPL 检测规则
- 配置定时告警
- 使用 Kali Linux 模拟攻击
- 将检测结果映射到 MITRE ATT&CK 框架
# 🏗️ SOC 实验室架构
```
Kali Linux VM
│
▼
Windows 10 VM
(Sysmon + Windows Event Logs)
│
▼
Splunk Universal Forwarder
│
▼
Splunk Enterprise
│
▼
SOC Dashboard & Alerts
```
# 🛠️ 工具与技术
该 SOC 环境使用以下技术构建:
- **Splunk Enterprise** – 安全信息和事件管理 (SIEM)
- **Splunk Universal Forwarder** – 安全的日志转发
- **Microsoft Sysmon** – 高级端点遥测
- **Windows Event Logs** – Windows 原生安全日志记录
- **Windows 10** – 受监控的端点
- **Kali Linux** – 攻击模拟平台
- **SPL (Search Processing Language)** – 检测规则开发
- **MITRE ATT&CK Framework** – 威胁分类与映射
# 🔍 安全场景
该项目包含针对以下方面的检测和监控:
- PowerShell 执行
- 失败的登录尝试
- 进程创建
- DNS 查询
- 网络连接
- 可疑进程
- Windows 安全事件
# 🚨 检测规则
开发了以下自定义检测规则:
- PowerShell 执行检测
- 失败登录检测
- 进程创建检测
- DNS 查询检测
- 网络连接检测
- 可疑进程检测
- 注册表监控
- 安全事件监控
# 📊 仪表板功能
SOC 仪表板提供对以下指标的实时可见性:
- 安全事件总数
- 失败的登录尝试
- 成功的登录
- 端点遥测
- 随时间变化的安全事件
- DNS 查询
- 网络连接
- 高频进程
- 高频主机
- 安全事件分布
# 🚨 告警
为以下项目配置了定时告警:
- PowerShell 执行
- 失败的登录尝试
- DNS 查询检测
- 进程创建检测
- 网络连接检测
- 可疑进程检测
# 🎯 MITRE ATT&CK 映射
已实施的检测与 MITRE ATT&CK 框架保持一致,涵盖以下相关技术:
- 初始访问
- 执行
- 持久化
- 防御规避
- 凭据获取
- 发现
- 命令与控制
# 🧠 展示技能
- 安全运营中心 (SOC)
- SIEM 实施
- Splunk Enterprise
- 威胁检测
- 威胁狩猎
- 事件调查
- Windows 事件监控
- Microsoft Sysmon
- 日志分析
- SPL 查询开发
- 仪表板开发
- 告警工程
- MITRE ATT&CK 映射
# 📂 仓库结构
```
SOC-Security-Monitoring-Splunk/
│
├── Detection-Rules/
├── Dashboards/
├── Alerts/
├── Documentation/
└── README.md
```
# 📚 参考
- Splunk 文档
- Microsoft Sysmon 文档
- MITRE ATT&CK 框架
- Microsoft Windows 安全文档
# 👨💻 作者
Barkha Shah
数字取证与网络安全理学硕士
GitHub: https://github.com/barkha-17
LinkedIn: https://linkedin.com/in/barkha-shah-24a912285/
## 📬 反馈
如果您对本项目有任何建议或反馈,请随时在 LinkedIn 上与我联系,或在此仓库中提交一个 issue。
⭐ 如果您觉得这个项目有趣,请考虑给它点个 Star。
标签:ATT&CK映射, 安全运营中心, 网络映射, 速率限制, 速率限制处理