tylerbcrawford/vsi-splunk-siem

    # 使用 Splunk 为 Virtual Space Industries 构建的自定义 SIEM 解决方案 ## 简介 本项目涉及使用 Splunk 开发和分析自定义安全信息和事件管理 (SIEM) 解决方案，旨在保护虚构组织 Virtual Space Industries (VSI) 免受网络攻击。作为 Fable CyberSecurity Inc. 三人 SOC 分析师团队的一员，我们的任务是监控 VSI 的关键系统，包括 Windows 服务器和 Apache Web 服务器。本项目展示了在使用 Splunk 进行安全监控、日志分析、威胁检测和事件响应方面的熟练程度。 ## 目录 - [项目概览](#project-overview) - [目标](#objectives) - [工具与技术](#tools-and-technologies) - [结果与发现](#results-and-findings) - [展示的技能](#skills-demonstrated) - [总结与反思](#conclusion-and-reflections) ## 项目概览 ### 目标 - **设计安全监控环境**：开发基于 Splunk 的 SIEM 解决方案，以建立基线、检测异常并响应网络威胁。 - **监控关键系统**：收集并分析 Windows 服务器和 Apache Web 服务器的日志。 - **检测和分析攻击**：识别并调查模拟的网络攻击，以评估 SIEM 的有效性。 - **提供建议**：根据分析结果提出改进建议，以增强 VSI 的安全态势。 ### 工具与技术 - Splunk Enterprise - Splunk Add-on for Microsoft Windows - Splunk App for Windows Infrastructure - Windows Server 2019 - Ubuntu Server (Apache Web Server) - Wireshark - Python 有关详细的报告和发现，请参阅 [SIEM 实施报告](SIEM_Implementation_Report.pdf)。 ## 结果与发现 - **成功检测攻击**：利用 Splunk 仪表板和警报，检测到了多种模拟的网络攻击，包括暴力破解登录尝试、SQL 注入尝试和 DoS 攻击。 - **有效监控与分析**：收集并分析了关键系统的日志，建立了基线并识别了异常情况。 - **可行的见解**：提供了加强安全措施的建议，例如强化密码策略、实施地理位置封锁以及优化警报阈值。 ## 展示的技能 - SIEM 配置与管理 - 日志分析与关联 - 威胁检测与警报 - 事件响应流程 - 安全基线建立 - 仪表板与可视化创建 - SOC 分析师工作流 ## 总结与反思 本项目展示了 SIEM 解决方案在检测和响应网络威胁中的关键作用。作为一个三人团队协同工作，我们利用 Splunk 的功能有效地监控了 VSI 的系统，检测了模拟攻击，并提供了可行的建议。这段经历强化了在网络安全运营中团队合作、持续监控、正确配置和主动安全措施的重要性。

标签：AMSI绕过, Apache, CISA项目, DOE合作, meg, OISF, PB级数据处理, Windows Server, 信息安全, 免杀技术, 威胁检测, 安全基线, 安全态势感知, 安全运维, 攻击分析, 教学环境, 日志管理, 暴力破解检测, 红队行动, 网络安全, 逆向工具, 隐私保护