JFrancisSOC/Project-12-SOC-Incident-Response-Case-Study
GitHub: JFrancisSOC/Project-12-SOC-Incident-Response-Case-Study
一个基于 Splunk 的 SOC 事件响应实战案例,演示如何通过多源日志关联分析调查疑似终端入侵并生成事件报告。
Stars: 0 | Forks: 0
# 项目 12 – SOC 事件响应案例研究
## 概述
在本项目中,我使用 Splunk Enterprise 执行了一次完整的安全运营中心 (SOC) 事件调查。从一次事件告警开始,我调查了多个安全日志源,在整个环境中对证据进行了关联,重构了攻击时间线,并在正式的事件报告中记录了调查结果。
本次调查结合了 Windows 安全、VPN、PowerShell、DNS 和防病毒日志,以确定终端是否已被入侵,并建议采取适当的响应措施。
## 目标
- 调查疑似终端入侵事件。
- 关联多个安全日志源。
- 构建事件时间线。
- 确定入侵指标 (IOC)。
- 生成正式的 SOC 事件报告。
- 建议隔离与修复措施。
## 实验环境
- Windows 11
- Splunk Enterprise 10.4.1
- Splunk Search & Reporting
- SOC 实验索引 (soc_lab)
- 示例安全日志
## 练习技能
- 事件响应
- 威胁狩猎
- 事件关联
- 时间线重构
- Windows 安全分析
- VPN 分析
- DNS 调查
- PowerShell 调查
- 恶意软件调查
- 事件记录
## 使用工具
- Splunk Enterprise
- Windows 11
- GitHub
## 调查过程
### 步骤 1
收到涉及可疑账户活动的高优先级事件告警。
### 步骤 2
调查了 Windows 身份验证日志。
观察到:
- 三次失败登录尝试
- 一次成功身份验证
### 步骤 3
调查了 VPN 活动。
观察到来自以下位置的 VPN 登录:
- 奥兰多
- 亚特兰大
- 俄罗斯
- 未知位置(失败)
### 步骤 4
调查了 PowerShell 活动。
观察到:
- Invoke-WebRequest
- 尝试连接到 malware-download.net/payload
### 步骤 5
调查了 DNS 活动。
观察到对以下地址的请求:
- malware-download.net
- evilexample
### 步骤 6
调查了防病毒日志。
观察到:
- 检测到 Trojan.Win32.Agent
- 威胁已成功隔离
### 步骤 7
关联了所有证据并构建了事件时间线。
### 步骤 8
完成了包含调查结果和建议的事件报告。
## 事件时间线
| 时间 | 事件 |
|------|-------|
| 11:14 PM | 检测到并隔离 Trojan.Win32.Agent |
| 11:17 PM | PowerShell 执行了 Invoke-WebRequest |
| 11:18 PM | 对 malware-download.net 和 evilexample 的 DNS 请求 |
| 11:18 PM | 观察到来自奥兰多、亚特兰大、俄罗斯的 VPN 登录,以及一次未知的失败登录 |
| 11:19 PM | 三次 Windows 登录失败,紧接着一次成功登录 |
## 调查发现
### Windows 身份验证
- 三次失败登录
- 一次成功登录
可能发生凭据泄露。
### VPN 调查
短时间内发生了来自不同地理位置的多次 VPN 登录。
位置包括:
- 奥兰多
- 亚特兰大
- 俄罗斯
此行为被视为可疑。
### PowerShell 调查
PowerShell 执行了:
- Invoke-WebRequest
尝试连接:
- malware-download.net/payload
此活动表明有人尝试下载恶意软件。
### DNS 调查
观察到 DNS 请求:
- malware-download.net
- evilexample
这些域名被视为可疑指标。
### 防病毒调查
防病毒软件检测到:
- Trojan.Win32.Agent
威胁已被成功隔离。
## 分析师结论
从 Windows 安全、VPN、PowerShell、DNS 和防病毒日志中收集的证据表明,FrancisHP 终端出现了多个入侵指标。
尽管防病毒软件成功隔离了检测到的木马,但可疑的身份验证活动、恶意的 PowerShell 执行、DNS 请求以及异常的 VPN 活动的存在,使得有必要将其升级以进行进一步调查。
## 建议操作
- 隔离受影响的终端。
- 重置受入侵账户的密码。
- 审查 VPN 会话。
- 封锁恶意域名。
- 执行完整的防病毒扫描。
- 审查 PowerShell 历史记录。
- 继续监控其他可疑活动。
# 截图
### 01 事件告警搜索

### 02 Windows 身份验证调查

### 03 VPN 调查

### 04 PowerShell 调查

### 05 DNS 调查

### 06 防病毒调查

### 07 事件时间线

### 08 事件调查结果

## 经验总结
- 学习了如何使用多个日志源调查安全事件。
- 关联了身份验证、VPN、DNS、PowerShell 和防病毒事件。
- 构建了基于证据的事件时间线。
- 练习了使用专业的 SOC 事件报告记录调查结果。
- 通过关联不同系统中的事件提高了分析思维能力。
## SOC 分析师要点
现代 SOC 调查要求分析师从多个日志源收集证据,而不是仅依赖单一事件。关联身份验证日志、VPN 活动、DNS 请求、PowerShell 执行和防病毒检测结果,可以全面了解事件情况。
本项目模拟了 SOC 分析师在真实事件响应活动中使用的工作流程,从接收告警到生成包含修复建议的、基于证据的事件报告。
标签:OpenCanary, 安全运营, 库, 应急响应, 扫描框架, 网络信息收集