SnakeBoss7/SOC_Network_Threat_Detection_Lab

GitHub: SnakeBoss7/SOC_Network_Threat_Detection_Lab

一个模拟真实攻击场景并构建检测逻辑的紫队实验室，涵盖攻击模拟、MITRE ATT&CK映射、检测工程和应急响应全流程。

Stars: 0 | Forks: 0

# 网络安全实验室 ## 展示技能 `SIEM 查询 (SPL)` · `IDS 规则编写 (Suricata)` · `网络流量分析 (Zeek)` · `MITRE ATT&CK 映射` · `检测工程` · `Linux 服务器管理` · `应急响应` ## 实验室概述 ### 宿主机 | 组件 | 详情 | |-----------|---------| | **OS** | Windows 11 | | **角色** | Hypervisor 宿主机 | ### 虚拟机 | VM | OS | 角色 | 用途 | |----|-----|------|---------| | **Kali Linux** | Kali Linux | 攻击者 | 攻击模拟 | | **Ubuntu Server** | Ubuntu | IDS/路由器 | Suricata IDS, Splunk Indexer, 网络路由 | | **Win-10** | Windows 10 | 受害者 | 攻击模拟的目标系统 | ## 网络配置 ![network_config](https://raw.githubusercontent.com/SnakeBoss7/SOC_Network_Threat_Detection_Lab/main/images/network_config.drawio%20(1).png) ### IP 地址分配 | 机器 | 接口 | IP 地址 | 子网掩码 | 网关 | 网络类型 | |---------|-----------|------------|-------------|---------|--------------| | **Kali Linux** | eth0 | `10.10.10.2` | `255.255.255.0` | `10.10.10.1` | 内部 LAN | | **Ubuntu Server** | enp7s0 (LAN) | `10.10.10.1` | `255.255.255.0` | - | 内部 LAN | | **Ubuntu Server** | enp1s0 (WAN) | `192.168.50.3` | `255.255.255.0` | `192.168.50.1` | NAT 网络 | | **Windows 10** | Ethernet | `10.10.10.5` | `255.255.255.0` | `10.10.10.1` | 内部 LAN | ## 攻击模拟与检测 ### 用于测试和验证检测管道的模拟攻击 | 战术 ID | 战术名称 | 技术 | 文档 | 检测工具 | |-----------|-------------|-----------|---------------|-----------------| | **TA0043** | 侦察 | 端口扫描 | [端口扫描](./MITRE/TA0043-Reconnaissance/PortScan.md) | Suricata (基于签名), Zeek (基于行为) | | **TA0006** | 凭据访问 | SSH 暴力破解 | [暴力破解](./MITRE/TA0006-CredentialAccess/bruteForce.md) | Suricata, Splunk + Linux auth.log | | **TA0006** | 凭据访问 | SMB 暴力破解 | [暴力破解](./MITRE/TA0006-CredentialAccess/bruteForce.md) | Suricata, Splunk + WinEventLog | | **TA0011** | 命令与控制 | HTTP Beaconing | [HTTP Beaconing (检测与应急响应)](./MITRE/TA0011-Command&control/http_beconing/http_beconing.md) | Splunk + Zeek (基于行为) | ## Splunk 仪表板 — C2 Beaconing 检测构建的一个 Splunk 仪表板，利用对 Zeek HTTP 日志的统计分析来检测和可视化 HTTP beaconing。 ![Dashboard - Beaconing Score Table & Timeline](https://raw.githubusercontent.com/SnakeBoss7/SOC_Network_Threat_Detection_Lab/main/MITRE/TA0011-Command&control/http_beconing/images/Dashboard/http_becon_dash1%20(1).png) ![Dashboard - Top Talkers & User-Agents](https://raw.githubusercontent.com/SnakeBoss7/SOC_Network_Threat_Detection_Lab/main/MITRE/TA0011-Command&control/http_beconing/images/Dashboard/http_becon_dash1%20(2).png) ## 实验室搭建指南 | 组件 | 指南 | |-----------|-------| | Ubuntu 路由器 & NAT | [网络配置](./ubuntu/Network-configuration.md) | | Suricata IDS | [Suricata 设置](./ubuntu/Suricata.md) | | Zeek NSM | [Zeek 设置](./ubuntu/zeek.md) |

标签：Burp Suite 替代, Cloudflare, Conpot, IDS规则, Linux服务器管理, Metaprompt, MITRE ATT&CK, NSM, PE 加载器, PoC, Rootkit, SPL查询, Suricata, Windows内核驱动, Windows安全, Zeek, 凭证访问, 家庭实验室, 插件系统, 攻击模拟, 数据展示, 数据统计, 暴力破解, 漏洞靶场, 现代安全运营, 端口扫描, 管理员页面发现, 紫队, 红队, 网络安全实验室, 网络流量分析, 网络路由, 防御检测, 防火墙配置, 驱动签名利用