sramzi123/splunk-sysmon-detection-lab

GitHub: sramzi123/splunk-sysmon-detection-lab

基于 Splunk Cloud 搭建的家庭 SOC 实验室,用于学习端点遥测数据采集与 SIEM 检测工程实践。

Stars: 0 | Forks: 0

# 家庭 SOC 实验室 本仓库记录了我围绕 Splunk Cloud 搭建的家庭 SOC 实验室。该项目的目标是更好地了解在 SIEM 中如何收集、转发和分析端点遥测数据,同时培养实用的检测工程技能。 该实验室目前包含一个 Windows 11 端点,它使用 Splunk Universal Forwarder 将 Windows Event Logs 和 Sysmon 遥测数据转发到 Splunk Cloud。随着项目的扩展,我计划添加自定义检测、仪表板、攻击模拟和 Active Directory。 ## 当前实验室环境 - Windows 11 - Splunk Cloud - Splunk Universal Forwarder - Windows Event Logs - Security - System - Application - Sysmon ## 架构 ## 当前进度 - [x] 配置 Splunk Cloud - [x] 安装 Splunk Universal Forwarder - [x] 转发 Windows Event Logs - [x] 安装和配置 Sysmon - [x] 验证遥测数据摄取 - [ ] 创建检测规则 - [ ] 构建仪表板 - [ ] 模拟攻击 - [ ] 将检测映射到 MITRE ATT&CK ## 截图 ### Windows Event Logs *(插入截图)* ### Sysmon 事件 *(插入截图)* ### Splunk 搜索 *(插入截图)* ## 仓库结构 ``` architecture/ docs/ screenshots/ spl/ detections/ ``` ## 路线图 ### 第一阶段 - Windows Event Log 收集 - Sysmon 部署 - Splunk Cloud 集成 ### 第二阶段 - 登录失败检测 - PowerShell 检测 - 注册表监控 ### 第三阶段 - Atomic Red Team - 仪表板 - MITRE ATT&CK 映射 ### 第四阶段 - Active Directory - 多端点监控 - 威胁狩猎场景
标签:Sysmon, 安全运营, 扫描框架