sramzi123/splunk-sysmon-detection-lab
GitHub: sramzi123/splunk-sysmon-detection-lab
基于 Splunk Cloud 搭建的家庭 SOC 实验室,用于学习端点遥测数据采集与 SIEM 检测工程实践。
Stars: 0 | Forks: 0
# 家庭 SOC 实验室
本仓库记录了我围绕 Splunk Cloud 搭建的家庭 SOC 实验室。该项目的目标是更好地了解在 SIEM 中如何收集、转发和分析端点遥测数据,同时培养实用的检测工程技能。
该实验室目前包含一个 Windows 11 端点,它使用 Splunk Universal Forwarder 将 Windows Event Logs 和 Sysmon 遥测数据转发到 Splunk Cloud。随着项目的扩展,我计划添加自定义检测、仪表板、攻击模拟和 Active Directory。
## 当前实验室环境
- Windows 11
- Splunk Cloud
- Splunk Universal Forwarder
- Windows Event Logs
- Security
- System
- Application
- Sysmon
## 架构
## 当前进度
- [x] 配置 Splunk Cloud
- [x] 安装 Splunk Universal Forwarder
- [x] 转发 Windows Event Logs
- [x] 安装和配置 Sysmon
- [x] 验证遥测数据摄取
- [ ] 创建检测规则
- [ ] 构建仪表板
- [ ] 模拟攻击
- [ ] 将检测映射到 MITRE ATT&CK
## 截图
### Windows Event Logs
*(插入截图)*
### Sysmon 事件
*(插入截图)*
### Splunk 搜索
*(插入截图)*
## 仓库结构
```
architecture/
docs/
screenshots/
spl/
detections/
```
## 路线图
### 第一阶段
- Windows Event Log 收集
- Sysmon 部署
- Splunk Cloud 集成
### 第二阶段
- 登录失败检测
- PowerShell 检测
- 注册表监控
### 第三阶段
- Atomic Red Team
- 仪表板
- MITRE ATT&CK 映射
### 第四阶段
- Active Directory
- 多端点监控
- 威胁狩猎场景
标签:Sysmon, 安全运营, 扫描框架