Alexvarghese123/-Snort-Splunk-IDS-Integration-Project

GitHub: Alexvarghese123/-Snort-Splunk-IDS-Integration-Project

该项目通过将 Snort 入侵检测系统与 Splunk SIEM 平台集成,搭建了一套具备实时告警和可视化分析能力的安全运营中心监控环境。

Stars: 0 | Forks: 0

# Snort 与 Splunk IDS 集成项目 本仓库记录了在 Ubuntu 服务器上使用 **Snort** 部署和配置入侵检测系统 (IDS) 解决方案,并与 **Splunk Enterprise** 集成以实现集中化日志聚合与分析的过程。 该系统旨在检测常见攻击媒介(如**端口扫描**和 **SSH 暴力破解**)并发出警报,为网络安全事件提供实时的可视化监控。 ### 核心组件 | 组件 | 角色 | 主机操作系统 | | :--- | :--- | :--- | | **Snort IDS** | 网络入侵检测与告警 | Ubuntu Server (虚拟机) | | **Splunk Universal Forwarder (UF)** | 收集和转发 Snort 日志的 Agent | Ubuntu Server (虚拟机) | | **Splunk Enterprise** | 日志索引、分析与可视化 | 宿主机操作系统 (Windows 11) | | **攻击者主机** | 用于测试自定义检测规则 | Kali Linux (虚拟机) | ### 网络环境 该解决方案在一个私有桥接网络中运行,所有主机均可相互通信。 | 主机角色 | 占位符 IP | | :--- | :--- | | **Snort 主机 / UF** | `SNORT_HOST_IP` | | **Splunk Indexer** | `SPLUNK_INDEXER_IP` | | **网络范围** | `192.168.1.0/24` (示例 HOME_NET) | ### 文档结构 本项目包含详细的文档,用于指导设置、配置和分析: * **`docs/Master_Playbook.md`**:所有成功执行的命令和配置的完整分步记录。 * **`docs/Installation_Guide.md`**:用于环境搭建的专项指南。 * **`docs/Architecture.md`**:系统设计的直观和描述性概述。 * **`docs/SPL_Queries.md`**:用于安全分析的基础 Splunk 搜索语言 (SPL)。 ### 💡 后续步骤 要深入了解配置细节和部署步骤,请从 **[Master Playbook](docs/Master_Playbook.md)** 开始。
标签:PB级数据处理, 安全运维, 插件系统