JFrancisSOC/Project-11-Splunk-Dashboards-and-Alerts

GitHub: JFrancisSOC/Project-11-Splunk-Dashboards-and-Alerts

该项目演示了如何在 Splunk 中构建恶意软件监控仪表板和自动化告警,以模拟 SOC 环境下的主动安全监控流程。

Stars: 0 | Forks: 0

# 项目 11 – Splunk 仪表板与告警 ## 概述 在这个项目中,我学习了如何在 Splunk Enterprise 中创建仪表板和告警,以主动监控安全事件。我没有手动搜索可疑活动,而是构建了一个仪表板来可视化恶意软件检测,并配置了一个告警,以便在检测到恶意软件活动时自动通知分析师。 该项目演示了安全运营中心 (SOC) 分析师如何使用仪表板和告警来持续监控其环境并快速响应安全事件。 ## 目标 - 学习如何在 Splunk 中创建仪表板。 - 创建恶意软件监控仪表板面板。 - 配置自动化安全告警。 - 了解仪表板和告警如何改进 SOC 监控。 - 模拟主动安全监控。 ## 实验环境 - Windows 11 - Splunk Enterprise 10.4.1 - Splunk Search & Reporting - SOC 实验索引 (soc_lab) - 安全日志样本 ## 练习技能 - 仪表板创建 - 仪表板面板 - 告警创建 - 安全监控 - 恶意软件检测 - Splunk 管理 - SIEM 监控 - SOC 运营 ## 使用工具 - Splunk Enterprise - Windows 11 - GitHub ## 实验活动 ### 步骤 1 搜索防病毒日志中的恶意软件活动。 对以下内容执行了搜索: - antivirus.log 以识别恶意事件。 ### 步骤 2 识别出恶意软件检测。 观察到: - Trojan.Win32.Agent - 威胁已检测 - 威胁已隔离 ### 步骤 3 创建了仪表板面板。 将恶意软件检测搜索保存为新的仪表板面板。 仪表板名称: - 恶意软件监控仪表板 该仪表板为分析师提供了一个集中位置来监控恶意软件检测。 ### 步骤 4 创建了安全告警。 使用恶意软件检测搜索配置了告警。 告警名称: - 恶意软件告警 告警配置: - 当结果大于 0 时触发 - 记录事件 - 24 小时后过期 ### 步骤 5 验证了仪表板功能。 确认仪表板显示了恶意软件检测,并确认告警配置已成功创建。 # 截图 ### 01 恶意软件检测搜索 ![01 恶意软件检测搜索](https://static.pigsec.cn/wp-content/uploads/repos/cas/f0/f062ee1d7727a7458fbdb708cee695c7d93f13c98528f594a192c82f69d114a6.png) ### 02 仪表板面板创建 ![02 仪表板面板创建](https://static.pigsec.cn/wp-content/uploads/repos/cas/4d/4d9bf43bbf2cb2711b41d28c2ebbf42add4eba21a3a2777d82abab2ac2c0435d.png) ### 03 包含恶意软件面板的仪表板 ![03 包含恶意软件面板的仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/ac/ac7baea03b9f608b514f0fcde6dfd5075316e6f0f231d4d99b8e045b95b3a514.png) ### 04 恶意软件告警配置 ![04 恶意软件告警配置](https://static.pigsec.cn/wp-content/uploads/repos/cas/de/de791296123df92c83cf72d7d44b1b9a236102980a205fe33e5c38762e2f5f26.png) ## 经验总结 - 学习了仪表板如何提供对安全事件的实时可见性。 - 从现有的 SPL 搜索创建了仪表板面板。 - 配置了自动化的 Splunk 告警。 - 学习了被动调查与主动监控之间的区别。 - 了解了 SOC 分析师如何通过使用仪表板和告警来减少手动工作。 ## SOC 分析师要点 仪表板和告警是现代安全运营中心的重要组成部分。仪表板为分析师提供了组织安全状况的实时视图,而告警则在可疑活动满足预定义条件时自动通知分析师。 无需等待事件被手动发现,仪表板和告警使 SOC 分析师能够更快地识别威胁,并在其升级为更大的安全事件之前做出响应。 该项目演示了 Splunk 如何将单个搜索转化为连续的安全监控能力,从而使分析师能够主动检测恶意软件和其他威胁。
标签:SOC运营, 安全运营, 扫描框架, 运维监控