Shrey-888/Splunk-Active-Defense-SIEM

GitHub: Shrey-888/Splunk-Active-Defense-SIEM

在 Kali Linux 上基于 Splunk 构建的闭环 SIEM 环境,实现 SSH 暴力破解检测、自动 IP 封禁、网络扫描暴露和自动化取证证据采集。

Stars: 1 | Forks: 0

# SSH 安全监控与主动防御 SIEM 这是一个从零开始在 Kali Linux 上使用 Splunk Enterprise 构建的闭环安全信息与事件管理 (SIEM) 环境。本项目展示了完整的网络防御生命周期——从原始遥测数据摄取和主动威胁阻断,到自动化的取证证据收集——并直接映射到 MITRE ATT&CK 框架。 ## 🚀 项目概述 本项目的目标是实现从被动安全监控到**主动防御**的转变。通过利用开源工具和自定义脚本,该环境能够检测侦察和武器化阶段,在网络层(Layer 3)隔离威胁,并为事件响应保留易失性内存。 ### 核心功能 * **自定义 Python IPS:** 一个后台守护进程,实时解析 `/var/log/auth.log`,并在检测到 5 次失败尝试后,动态更新 `iptables` 以丢弃暴力破解攻击者的连接。 * **网络层遥测:** 后台 `tcpdump` 捕获配置,用于隔离原始 TCP SYN 数据包,从而在隐蔽的 Nmap 扫描与 SSH 守护进程交互之前将其暴露出来。 * **自动化取证:** 遵循 NIST SP 800-86 指南(易失性顺序)的 bash 脚本,由 Splunk 警报自动触发,以便在攻击发生时捕获网络连接、已登录用户和内核模块状态。 * **MITRE ATT&CK 仪表板:** 自定义 Splunk 仪表板,可视化展示 T1046(网络服务扫描)、T1110(暴力破解)和 T1078(有效账户)。 Screenshot 2026-03-18 093654 Screenshot 2026-03-18 094949 Screenshot 2026-03-18 104709 ## 🏗️ 架构与遥测管道 1. **威胁行为者(攻击者 VM):** 运行 Kali Linux,执行 `nmap -sS` 和 `hydra` 字典攻击。 2. **遥测生成(受害者 VM):** * *Layer 4:* `tcpdump` 捕获 SYN 数据包 -> `/var/log/ssh_network_traffic.log` * *Layer 7:* 通过 `rsyslog` 进行 PAM 身份验证 -> `/var/log/auth.log` 3. **数据摄取:** Splunk Enterprise 持续监控这两个日志。 4. **主动响应:** * `active_ips.py` 检测阈值并通过 `iptables` 丢弃攻击者 IP。 * Splunk 警报触发 `forensic_snapshot.sh` 以捕获系统状态。 ## 🛠️ 设置与安装 ### 1. 网络遥测设置 为了捕获隐蔽的 SYN 扫描,请在受害者机器上运行以下命令: ``` sudo touch /var/log/ssh_network_traffic.log sudo chmod 666 /var/log/ssh_network_traffic.log sudo tcpdump -nn -i eth0 'tcp port 22 and (tcp[tcpflags] & tcp-syn != 0)' -l > /var/log/ssh_network_traffic.log & ### 2. Splunk 配置 * Install Splunk Enterprise. * Add `/var/log/auth.log` and `/var/log/ssh_network_traffic.log` as Data Inputs via the Splunk Web UI. * Use the queries provided in `splunk/dashboard_queries.txt` to build the MITRE ATT&CK Dashboard. * Create a scheduled alert in Splunk that executes the `forensic_snapshot.sh` script when T1110 thresholds are met. ### 3. 部署 Defenses Ensure your scripts are executable: ```bash chmod +x scripts/forensic_snapshot.sh chmod +x scripts/active_ips.py Run the custom IPS in the background: sudo python3 scripts/active_ips.py ```
标签:AMSI绕过, 入侵防御, 威胁检测, 安全运营, 应用安全, 扫描框架, 插件系统, 数字取证, 自动化响应, 自动化脚本, 逆向工具