adhikarividhyadhar/Security-incident-detection-response

GitHub: adhikarividhyadhar/Security-incident-detection-response

一个实践性 SOC 蓝队项目,基于 Splunk 和 Sysmon 构建网络钓鱼、恶意软件与未授权访问的端到端检测规则、日志解析工具和事件响应流程。

Stars: 0 | Forks: 0

# 安全事件检测与响应 一个实践性的 SOC/蓝队项目,演示了针对网络钓鱼、恶意软件和未授权访问尝试的端到端检测与响应,使用了 **Splunk**、**Sysmon**、**Windows Event Logs** 和 **Linux Syslog**。 ## 概述 本代码库打包了在实验室 SIEM 环境(2021 年 1 月)中调查和修复模拟安全事件时构建的检测内容、日志解析工具和事件响应流程。 工作范围: - 使用 Splunk 作为主要 SIEM,调查了网络钓鱼尝试、恶意软件执行和未授权访问请求。 - 对每类事件执行了根因分析,并记录了可重复的事件响应程序。 - 在 Wireshark 中分析了抓包数据,以识别可疑的网络行为(C2 beaconing、异常端口/协议、DNS tunneling 指标)。 - 制作了事后文档和修复 playbook,供未来的响应人员使用。 ## 代码库结构 ``` security-incident-detection-response/ ├── README.md ├── sysmon/ │ └── sysmon-config.xml # Event collection config for endpoint telemetry ├── splunk_detections/ │ ├── phishing_detection.spl │ ├── malware_detection.spl │ ├── unauthorized_access_detection.spl │ └── detections_index.md # Notes on each detection: logic, data source, tuning ├── scripts/ │ ├── parse_windows_event_logs.py # Parses Security/Sysmon .evtx or exported CSV │ ├── parse_linux_syslog.py # Parses /var/log/auth.log and syslog for anomalies │ └── pcap_analyzer.py # Summarizes suspicious traffic from .pcap files ├── playbooks/ │ ├── phishing_ir_playbook.md │ ├── malware_ir_playbook.md │ └── unauthorized_access_ir_playbook.md ├── reports/ │ └── post_incident_report_template.md └── sample_data/ ├── windows_events_sample.csv └── linux_auth_sample.log ``` ## 工具 | 工具 | 用途 | |---|---| | Splunk | 日志聚合、关联搜索、告警 | | Sysmon | 高保真 endpoint 遥测(进程、网络、registry、文件事件) | | Windows Event Logs | 原生身份验证、登录和账户管理事件 | | Linux Syslog / auth.log | Linux 主机上的 SSH、sudo 和 cron 身份验证活动 | | Wireshark | 对可疑网络流的 packet 级分析 | | Python | 日志解析/分诊自动化(无需活跃的 Splunk 实例即可运行) | ## 检测覆盖范围 - **网络钓鱼**:Office 应用程序生成 `cmd.exe`/`powershell.exe`/`mshta.exe`,从邮件客户端临时目录执行可疑附件,宏执行后伴随出站网络连接。 - **恶意软件**:Living-off-the-land 二进制文件 (LOLBins),异常的父子进程链,从用户可写路径执行未签名二进制文件,beaconing 模式的 DNS/网络活动。 - **未授权访问**:重复登录失败后成功(暴力破解),不可能旅行 登录,非工作时间的特权账户使用,创建新的本地管理员账户。 ## 事件响应流程 `playbooks/` 中的每个 playbook 都遵循标准的 IR 生命周期: **准备 → 识别 → 遏制 → 根除 → 恢复 → 经验教训**,其中 Splunk 查询和日志源映射到每个阶段。 ## 运行脚本 ``` pip install pandas python-evtx pyshark python scripts/parse_windows_event_logs.py sample_data/windows_events_sample.csv python scripts/parse_linux_syslog.py sample_data/linux_auth_sample.log python scripts/pcap_analyzer.py capture.pcap ``` ## 免责声明 `sample_data/` 中的所有样本数据均为合成数据,仅用于演示目的。本代码库中不包含任何真实用户数据、凭证或生产日志。
标签:AMSI绕过, IP 地址批量处理, 威胁检测, 安全事件响应, 安全运营, 扫描框架, 自定义DNS解析器, 逆向工具