bunnyhp/enterprise-soc-blueprint

# 企业级 SOC 实施蓝图 [](https://opensource.org/licenses/MIT) [](https://attack.mitre.org/) [](https://www.splunk.com/) 一份全面的、生产级的安全运营中心 (SOC) 实施蓝图，具备 Splunk SIEM、SOAR 自动化和企业级安全监控能力。 ## 🎯 成功标准与防护栏 - **MTTD ≤ 10 分钟** - 平均检测时间 - **MTTR ≤ 60 分钟** - 高严重性事件的平均响应时间 - **95%+ 覆盖率** - 针对主要 MITRE ATT&CK TTPs - **误报率 < 5%** - 基于调优后的检测规则 - **变更控制** - 采用 Git 支持的配置和 CI/CD 验证 ## 🏗️ 架构概览 ### 数据平面 - **采集器**: Splunk Universal Forwarders, Syslog-NG, Fluent Bit - **网络监控**: Zeek NSM, NetFlow/IPFIX - **云集成**: AWS CloudTrail/GuardDuty, Azure Sentinel, GCP Security - **身份系统**: Okta, Azure AD, Active Directory ### 处理与存储 - **Splunk 集群**: Heavy Forwarders → Kafka → Indexer Cluster → Cold Storage - **Search Head Cluster** - 符合 CIM 标准并包含模块化应用 - **数据模型**: 针对通用安全用例的加速搜索 ### 控制平面 - **SOAR 平台**: Splunk SOAR/Phantom，配备自动化剧本 - **案例管理**: TheHive 或 ServiceNow SecOps 集成 - **威胁情报**: MISP/OpenCTI，具备自动化 IOC 采集 - **可观测性**: Prometheus + Grafana 监控堆栈 ## 📁 项目结构 ``` enterprise-soc-blueprint/ ├── docs/ # Documentation and guides │ ├── architecture/ # Architecture diagrams and designs │ ├── deployment-guides/ # Step-by-step deployment instructions │ ├── playbooks/ # Incident response playbooks │ └── detection-library/ # Detection rule documentation ├── infrastructure/ # Infrastructure as Code │ ├── terraform/ # Terraform modules and configurations │ ├── ansible/ # Ansible playbooks and roles │ └── kubernetes/ # Kubernetes manifests (optional) ├── splunk/ # Splunk configurations and apps │ ├── apps/ # Custom Splunk applications │ ├── configs/ # Core Splunk configurations │ └── detections/ # Detection rules and searches ├── soar/ # SOAR automation │ ├── playbooks/ # Automated response playbooks │ └── custom-apps/ # Custom SOAR applications ├── scripts/ # Deployment and utility scripts │ ├── deployment/ # Automated deployment scripts │ └── validation/ # Testing and validation scripts └── examples/ # Example configurations for different scales ├── small-enterprise/ # < 1000 endpoints ├── medium-enterprise/ # 1000-5000 endpoints └── large-enterprise/ # > 5000 endpoints ``` ## 🚀 快速开始 ### 前置条件 - Terraform >= 1.0 - Ansible >= 2.9 - Docker (用于容器化组件) - 云服务商账户 (AWS/Azure/GCP) ### 部署选项 #### 选项 1: 自动化部署 ``` # 克隆 repository git clone https://github.com/your-org/enterprise-soc-blueprint.git cd enterprise-soc-blueprint # 配置 environment cp examples/medium-enterprise/terraform.tfvars.example terraform.tfvars # 使用具体值编辑 terraform.tfvars # 部署 infrastructure cd infrastructure/terraform terraform init terraform plan terraform apply # 配置并部署 applications cd ../../scripts/deployment ./deploy-soc.sh ``` #### 选项 2: 手动分步部署 请遵循 `docs/deployment-guides/` 中的详细指南： 1. [基础设施设置](docs/deployment-guides/01-infrastructure-setup.md) 2. [Splunk 集群部署](docs/deployment-guides/02-splunk-deployment.md) 3. [SOAR 配置](docs/deployment-guides/03-soar-setup.md) 4. [检测规则实施](docs/deployment-guides/04-detection-rules.md) 5. [验证与测试](docs/deployment-guides/05-validation.md) ## 🎯 检测覆盖范围 我们的检测库涵盖以下 MITRE ATT&CK 战术： | 战术 | 覆盖的技术 | 检测规则 | |--------|-------------------|-----------------| | Initial Access | T1078, T1190, T1566 | 12 rules | | Execution | T1059, T1053, T1204 | 15 rules | | Persistence | T1543, T1547, T1136 | 18 rules | | Privilege Escalation | T1548, T1134, T1055 | 14 rules | | Defense Evasion | T1070, T1027, T1112 | 20 rules | | Credential Access | T1003, T1110, T1558 | 16 rules | | Discovery | T1083, T1057, T1018 | 13 rules | | Lateral Movement | T1021, T1077, T1076 | 11 rules | | Collection | T1005, T1039, T1113 | 8 rules | | Exfiltration | T1041, T1048, T1567 | 7 rules | ## 🔧 配置示例 ### Splunk Indexer 配置 ``` # indexes.conf [winevent] homePath = $SPLUNK_DB/winevent/db coldPath = $SPLUNK_DB/winevent/colddb thawedPath = $SPLUNK_DB/winevent/thaweddb maxDataSize = auto_high_volume maxHotBuckets = 10 maxWarmDBCount = 300 ``` ### SOAR 剧本示例 ``` # 高风险登录响应 def on_start(container, summary): phantom.debug('Starting High-Risk Login Response') # Get artifact data artifact = container.get('artifacts')[0] risk_score = artifact.get('cef', {}).get('risk_score', 0) if risk_score >= 80: # Trigger containment actions disable_user_account(container) isolate_host(container) create_ticket(container) notify_team(container) ``` ## 📊 监控与 KPI ### 高管仪表盘指标 - 平均检测时间 (MTTD) - 平均响应时间 (MTTR) - 按严重性划分的事件量 - 观察到的主要 MITRE ATT&CK 技术 - 误报率 ### 运营指标 - 数据接入速率 - 搜索性能 - 系统健康状况与容量 - 自动化成功率 ## 🧪 测试与验证 ### 紫队演练 我们包含了针对以下场景的 Atomic Red Team 测试： - PowerShell 滥用检测 - LSASS 凭据转储 - 通过 RDP/SMB 进行横向移动 - OAuth token 滥用 - MFA 疲劳攻击 ### 持续测试 ``` # 运行检测验证 ./scripts/validation/test-detections.sh # 执行 purple team 场景 ./scripts/validation/atomic-red-team-tests.sh # 验证 SOAR playbooks ./scripts/validation/test-playbooks.sh ``` ## 📈 扩展性考量 | 环境规模 | 日均接入量 | Indexers | Search Heads | 存储 | |------------------|-------------|----------|--------------|---------| | 小型 (< 1K 终端) | 50-100 GB | 1-2 | 1 | 2TB 热, 10TB 冷 | | 中型 (1K-5K 终端) | 200-500 GB | 3-5 | 2-3 | 5TB 热, 50TB 冷 | | 大型 (> 5K 终端) | 1TB+ | 6+ | 3+ | 10TB+ 热, 100TB+ 冷 | ## 🤝 贡献 我们欢迎各种贡献！详情请参阅我们的[贡献指南](CONTRIBUTING.md)。 ### 贡献领域 - 额外的检测规则 - 新的 SOAR 剧本 - 云服务商集成 - 文档改进 - 测试场景 ## 📜 许可证 本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 🙏 致谢 - MITRE ATT&CK Framework - Splunk Community - Open Source Security Community - Detection Engineering Community ## 📞 支持 - 📖 [文档](docs/) - 🐛 [问题](https://github.com/bunnyhp/enterprise-soc-blueprint/issues) - 💬 [讨论](https://github.com/bunnyhp/enterprise-soc-blueprint/discussions) **⚠️ 安全提示**: 本蓝图包含安全配置和检测规则。在生产部署之前，请务必审查并根据您的具体环境自定义所有配置。

标签：AMSI绕过, AWS, CIDR查询, Cloudflare, DevSecOps, DNS 解析, DPI, FTP漏洞扫描, Grafana, HTTP/HTTPS抓包, IP 地址批量处理, Kafka, MITRE ATT&CK, MTTD, MTTR, OpenCTI, PE 加载器, Phantom, Rootkit, SOAR, SonarQube插件, TheHive, Zeek, 上游代理, 企业安全, 威胁情报, 威胁检测, 子域名突变, 安全架构, 安全编排, 安全运营中心, 库, 应急响应, 开发者工具, 态势感知, 攻击框架, 漏洞利用检测, 生产就绪, 系统提示词, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 自动化响应, 自定义请求头, 误报率, 请求拦截, 隐私保护