adhikarividhyadhar/Security-incident-detection-response
GitHub: adhikarividhyadhar/Security-incident-detection-response
一个实践性 SOC 蓝队项目,基于 Splunk 和 Sysmon 构建网络钓鱼、恶意软件与未授权访问的端到端检测规则、日志解析工具和事件响应流程。
Stars: 0 | Forks: 0
# 安全事件检测与响应
一个实践性的 SOC/蓝队项目,演示了针对网络钓鱼、恶意软件和未授权访问尝试的端到端检测与响应,使用了 **Splunk**、**Sysmon**、**Windows Event Logs** 和 **Linux Syslog**。
## 概述
本代码库打包了在实验室 SIEM 环境(2021 年 1 月)中调查和修复模拟安全事件时构建的检测内容、日志解析工具和事件响应流程。
工作范围:
- 使用 Splunk 作为主要 SIEM,调查了网络钓鱼尝试、恶意软件执行和未授权访问请求。
- 对每类事件执行了根因分析,并记录了可重复的事件响应程序。
- 在 Wireshark 中分析了抓包数据,以识别可疑的网络行为(C2 beaconing、异常端口/协议、DNS tunneling 指标)。
- 制作了事后文档和修复 playbook,供未来的响应人员使用。
## 代码库结构
```
security-incident-detection-response/
├── README.md
├── sysmon/
│ └── sysmon-config.xml # Event collection config for endpoint telemetry
├── splunk_detections/
│ ├── phishing_detection.spl
│ ├── malware_detection.spl
│ ├── unauthorized_access_detection.spl
│ └── detections_index.md # Notes on each detection: logic, data source, tuning
├── scripts/
│ ├── parse_windows_event_logs.py # Parses Security/Sysmon .evtx or exported CSV
│ ├── parse_linux_syslog.py # Parses /var/log/auth.log and syslog for anomalies
│ └── pcap_analyzer.py # Summarizes suspicious traffic from .pcap files
├── playbooks/
│ ├── phishing_ir_playbook.md
│ ├── malware_ir_playbook.md
│ └── unauthorized_access_ir_playbook.md
├── reports/
│ └── post_incident_report_template.md
└── sample_data/
├── windows_events_sample.csv
└── linux_auth_sample.log
```
## 工具
| 工具 | 用途 |
|---|---|
| Splunk | 日志聚合、关联搜索、告警 |
| Sysmon | 高保真 endpoint 遥测(进程、网络、registry、文件事件) |
| Windows Event Logs | 原生身份验证、登录和账户管理事件 |
| Linux Syslog / auth.log | Linux 主机上的 SSH、sudo 和 cron 身份验证活动 |
| Wireshark | 对可疑网络流的 packet 级分析 |
| Python | 日志解析/分诊自动化(无需活跃的 Splunk 实例即可运行) |
## 检测覆盖范围
- **网络钓鱼**:Office 应用程序生成 `cmd.exe`/`powershell.exe`/`mshta.exe`,从邮件客户端临时目录执行可疑附件,宏执行后伴随出站网络连接。
- **恶意软件**:Living-off-the-land 二进制文件 (LOLBins),异常的父子进程链,从用户可写路径执行未签名二进制文件,beaconing 模式的 DNS/网络活动。
- **未授权访问**:重复登录失败后成功(暴力破解),不可能旅行 登录,非工作时间的特权账户使用,创建新的本地管理员账户。
## 事件响应流程
`playbooks/` 中的每个 playbook 都遵循标准的 IR 生命周期:
**准备 → 识别 → 遏制 → 根除 → 恢复 → 经验教训**,其中 Splunk 查询和日志源映射到每个阶段。
## 运行脚本
```
pip install pandas python-evtx pyshark
python scripts/parse_windows_event_logs.py sample_data/windows_events_sample.csv
python scripts/parse_linux_syslog.py sample_data/linux_auth_sample.log
python scripts/pcap_analyzer.py capture.pcap
```
## 免责声明
`sample_data/` 中的所有样本数据均为合成数据,仅用于演示目的。本代码库中不包含任何真实用户数据、凭证或生产日志。
标签:AMSI绕过, IP 地址批量处理, 威胁检测, 安全事件响应, 安全运营, 扫描框架, 自定义DNS解析器, 逆向工具