JFrancisSOC/Project-12-SOC-Incident-Response-Case-Study

GitHub: JFrancisSOC/Project-12-SOC-Incident-Response-Case-Study

一个基于 Splunk 的 SOC 事件响应实战案例,演示如何通过多源日志关联分析调查疑似终端入侵并生成事件报告。

Stars: 0 | Forks: 0

# 项目 12 – SOC 事件响应案例研究 ## 概述 在本项目中,我使用 Splunk Enterprise 执行了一次完整的安全运营中心 (SOC) 事件调查。从一次事件告警开始,我调查了多个安全日志源,在整个环境中对证据进行了关联,重构了攻击时间线,并在正式的事件报告中记录了调查结果。 本次调查结合了 Windows 安全、VPN、PowerShell、DNS 和防病毒日志,以确定终端是否已被入侵,并建议采取适当的响应措施。 ## 目标 - 调查疑似终端入侵事件。 - 关联多个安全日志源。 - 构建事件时间线。 - 确定入侵指标 (IOC)。 - 生成正式的 SOC 事件报告。 - 建议隔离与修复措施。 ## 实验环境 - Windows 11 - Splunk Enterprise 10.4.1 - Splunk Search & Reporting - SOC 实验索引 (soc_lab) - 示例安全日志 ## 练习技能 - 事件响应 - 威胁狩猎 - 事件关联 - 时间线重构 - Windows 安全分析 - VPN 分析 - DNS 调查 - PowerShell 调查 - 恶意软件调查 - 事件记录 ## 使用工具 - Splunk Enterprise - Windows 11 - GitHub ## 调查过程 ### 步骤 1 收到涉及可疑账户活动的高优先级事件告警。 ### 步骤 2 调查了 Windows 身份验证日志。 观察到: - 三次失败登录尝试 - 一次成功身份验证 ### 步骤 3 调查了 VPN 活动。 观察到来自以下位置的 VPN 登录: - 奥兰多 - 亚特兰大 - 俄罗斯 - 未知位置(失败) ### 步骤 4 调查了 PowerShell 活动。 观察到: - Invoke-WebRequest - 尝试连接到 malware-download.net/payload ### 步骤 5 调查了 DNS 活动。 观察到对以下地址的请求: - malware-download.net - evilexample ### 步骤 6 调查了防病毒日志。 观察到: - 检测到 Trojan.Win32.Agent - 威胁已成功隔离 ### 步骤 7 关联了所有证据并构建了事件时间线。 ### 步骤 8 完成了包含调查结果和建议的事件报告。 ## 事件时间线 | 时间 | 事件 | |------|-------| | 11:14 PM | 检测到并隔离 Trojan.Win32.Agent | | 11:17 PM | PowerShell 执行了 Invoke-WebRequest | | 11:18 PM | 对 malware-download.net 和 evilexample 的 DNS 请求 | | 11:18 PM | 观察到来自奥兰多、亚特兰大、俄罗斯的 VPN 登录,以及一次未知的失败登录 | | 11:19 PM | 三次 Windows 登录失败,紧接着一次成功登录 | ## 调查发现 ### Windows 身份验证 - 三次失败登录 - 一次成功登录 可能发生凭据泄露。 ### VPN 调查 短时间内发生了来自不同地理位置的多次 VPN 登录。 位置包括: - 奥兰多 - 亚特兰大 - 俄罗斯 此行为被视为可疑。 ### PowerShell 调查 PowerShell 执行了: - Invoke-WebRequest 尝试连接: - malware-download.net/payload 此活动表明有人尝试下载恶意软件。 ### DNS 调查 观察到 DNS 请求: - malware-download.net - evilexample 这些域名被视为可疑指标。 ### 防病毒调查 防病毒软件检测到: - Trojan.Win32.Agent 威胁已被成功隔离。 ## 分析师结论 从 Windows 安全、VPN、PowerShell、DNS 和防病毒日志中收集的证据表明,FrancisHP 终端出现了多个入侵指标。 尽管防病毒软件成功隔离了检测到的木马,但可疑的身份验证活动、恶意的 PowerShell 执行、DNS 请求以及异常的 VPN 活动的存在,使得有必要将其升级以进行进一步调查。 ## 建议操作 - 隔离受影响的终端。 - 重置受入侵账户的密码。 - 审查 VPN 会话。 - 封锁恶意域名。 - 执行完整的防病毒扫描。 - 审查 PowerShell 历史记录。 - 继续监控其他可疑活动。 # 截图 ### 01 事件告警搜索 ![01 事件告警搜索](https://static.pigsec.cn/wp-content/uploads/repos/cas/c5/c5b7e0dd665e40f65202a70aa8f0c63d1c63747187b2229917968813af48a09c.png) ### 02 Windows 身份验证调查 ![02 Windows 身份验证调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/27/2741dac26fb0aa84ea5b2235ffd98efb0e8b51a41e5f29ac6d35e307286d1528.png) ### 03 VPN 调查 ![03 VPN 调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/b7/b75d6fc23743b4a8f1b75acccd44a11cf49e60ec93f9e9745f02941de1662332.png) ### 04 PowerShell 调查 ![04 PowerShell 调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/5a/5a35df5c31f6f9c474594e537d11747f02a83c8094d49c43f8f83d1fad8b4acf.png) ### 05 DNS 调查 ![05 DNS 调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/49/4964b4548ce5a49ea0a5cacee9736611d405d74814b8e6a1d769ed4fcfaae4f6.png) ### 06 防病毒调查 ![06 防病毒调查](https://static.pigsec.cn/wp-content/uploads/repos/cas/f9/f9d46d74e7fc1246f5e32d72fb47c1fb817d51d8771dd3cdd7023db9449cc083.png) ### 07 事件时间线 ![07 事件时间线](https://static.pigsec.cn/wp-content/uploads/repos/cas/6f/6f5a42585b66e9c53614c8276f64b4f2d37677ec3f1dafa7c84d152e02c30751.png) ### 08 事件调查结果 ![08 事件调查结果](https://static.pigsec.cn/wp-content/uploads/repos/cas/54/542c8b30c47bc9d81d0ef6b2916aa07a495c772a9ba12b365cc7e805c6f6061a.png) ## 经验总结 - 学习了如何使用多个日志源调查安全事件。 - 关联了身份验证、VPN、DNS、PowerShell 和防病毒事件。 - 构建了基于证据的事件时间线。 - 练习了使用专业的 SOC 事件报告记录调查结果。 - 通过关联不同系统中的事件提高了分析思维能力。 ## SOC 分析师要点 现代 SOC 调查要求分析师从多个日志源收集证据,而不是仅依赖单一事件。关联身份验证日志、VPN 活动、DNS 请求、PowerShell 执行和防病毒检测结果,可以全面了解事件情况。 本项目模拟了 SOC 分析师在真实事件响应活动中使用的工作流程,从接收告警到生成包含修复建议的、基于证据的事件报告。
标签:OpenCanary, 安全运营, 库, 应急响应, 扫描框架, 网络信息收集