KESAVA-0725/Endpoint-Security-Automation-Lab

## 🛡️ Endpoint Security 自动化实验室  本项目演示了一个真实的安防运营中心 (SOC) 工作流程，该流程将端点检测与响应 (EDR) 平台与安全编排、自动化与响应 (SOAR) 解决方案集成在一起，用于检测威胁并在分析师批准下自动隔离受损主机。 该实验室模拟了一次攻击，在端点层面进行检测，触发自动告警，请求人工批准，并执行受控的遏制措施——就像一个现代化的 SOC 环境一样。 ## 🚀 项目目标 本项目旨在设计并实现一个自动化的事件响应工作流程，该流程能够： - 检测端点上的恶意活动 - 将检测告警发送到 SOAR 平台 - 通过 Slack 和 Email 通知安全分析师 - 允许分析师决定是否应隔离该主机 - 如果获得批准，则自动隔离端点 - 验证并报告隔离状态 本项目反映了安全团队如何将自动化与人工决策相结合，从而在避免意外中断的同时缩短响应时间。 ## 🧰 使用的技术 工具 项目中的角色 - LimaCharlie (EDR) : 端点监控、检测和响应操作 - Tines (SOAR) : 工作流自动化和 playbook 编排 - Slack : 实时 SOC 告警通知 - Email : 辅助告警渠道 - LaZagne : 模拟凭据提取的攻击工具 - Windows 10 (Virtual Machine) : 用于攻击模拟的目标端点 - VirtualBox : 虚拟实验环境 - ## 🖥️ 实验架构概述 该实验室包含一个由 LimaCharlie 监控的 Windows 10 虚拟端点。当检测到可疑活动时，LimaCharlie 会通过 webhook 将事件数据转发给 Tines。Tines 处理该事件、发送告警、请求分析师输入，并在获得批准后执行自动遏制。最终的遏制状态随后会报告回 SOC 团队。 此架构演示了从检测 → 告警 → 人工决策 → 自动化响应 → 验证的完整生命周期。 ## ⚙️ 逐步实施指南 ## 1️⃣ 端点与 EDR 部署 在 VirtualBox 中部署了一台 Windows 10 虚拟机，作为受监控的端点。在 LimaCharlie 中生成了一个安装密钥，并使用生成的链接下载了 sensor 安装包。使用该密钥在 Windows VM 上安装了 sensor。 安装完成后，该端点出现在 LimaCharlie 的 Sensors 列表中，确认 EDR agent 已成功与平台通信并正在收集遥测数据。 ## 2️⃣ 模拟恶意活动 为了生成逼真的安全遥测数据，在 Windows 端点上执行了凭据恢复工具 LaZagne。LaZagne 会尝试提取存储的凭据，这使其非常适合用于模拟真实攻击中常见的凭据提取行为。 执行 LaZagne 在 LimaCharlie 中产生了进程创建和命令行遥测数据。这些数据随后被用于构建检测规则。 ## 3️⃣ LimaCharlie 中的检测工程 在 LimaCharlie 中创建了一个检测与响应 (D&R) 规则，用于检测 lazagne.exe 的执行。来自端点时间线的真实遥测数据被用于测试检测逻辑，以确保准确性并减少误报。 测试成功后，该规则被保存。当再次执行 LaZagne 时，检测被触发并出现在 Detections 部分，确认检测规则运行正常。 此步骤演示了使用真实端点遥测数据进行的实用检测工程。 ## 4️⃣ 将检测结果发送至 SOAR (Tines) 为了实现事件响应自动化，LimaCharlie 的检测结果通过 webhook 集成被转发到了 Tines。在 Tines 中创建了一个 webhook，并将其 URL 配置为 LimaCharlie 的输出目标。 当检测规则再次触发时，事件数据被 Tines 成功接收。这在 EDR 和 SOAR 平台之间建立了一个有效的 pipeline。 ## 5️⃣ 向 SOC 团队发送告警 在 Tines 中配置了自动告警操作以通知分析师： - 一条包含检测详情的 Slack 消息 - 一封包含相同信息的电子邮件通知 告警消息包含了关键取证信息，例如： - 计算机名 - 用户名 - 进程名 - 命令行参数 - 检测时间戳 这确保了分析师在采取行动之前拥有充足的上下文来评估威胁。 ## 6️⃣ Human-in-the-Loop 决策页面 创建了一个 Tines Page，允许分析师做出遏制决策。该页面提出了一个简单的问题： “您是否要隔离此计算机？(YES / NO)” 此步骤在执行网络隔离等具有破坏性的响应操作之前引入了人工批准检查点。这反映了真实的 SOC 流程，在该流程中，遏制措施通常必须由分析师批准。 ## 7️⃣ 自动端点隔离（如果为 YES） 如果分析师选择 YES，Tines 将触发向 LimaCharlie 发起 API 请求以隔离该端点。这会使 Windows 主机进入网络隔离模式，阻止其与其他系统通信。 在 LimaCharlie 中验证了隔离状态，sensor 显示网络隔离已激活。随后发送了一条最终的 Slack 消息，通知 SOC 团队该端点已被成功隔离。 此步骤演示了带有验证的自动遏制。 ## 8️⃣ 无隔离路径（如果为 NO） 如果分析师选择 NO，系统则不会隔离该端点。相反，Tines 会发送一条 Slack 消息，说明该主机未被隔离并需要进一步调查。这在保持可见性的同时，允许分析师继续进行人工调查。 ## 🔄 最终 Playbook 工作流 - 端点上执行了可疑进程 - LimaCharlie 检测到该活动 - 检测事件通过 webhook 发送给 Tines - 向分析师发送 Slack 和 Email 告警 - 通过 Tines 页面请求分析师做出决策 - 如果为 YES → 自动隔离端点 - 验证并报告隔离状态 此工作流反映了结合自动化与分析师监督的真实 SOC playbook。 ## 🎯 展示的技能 - 端点检测与响应 (EDR) 部署 - 使用真实遥测数据进行检测工程 - SOAR playbook 设计与自动化 - 基于 webhook 的平台集成 - 基于 API 驱动的安全响应操作 - Human-in-the-loop 事件响应 - 实时 SOC 告警与通信 ## 🧠 关键学习成果 本项目突出了检测、自动化和人工决策在现代安全运营中如何协同工作。它展示了自动化遏制必须如何被谨慎控制和验证，以确保安全性和运营稳定性。

标签：EDR, SOAR, 安全运营中心, 网络映射, 脆弱性评估, 自动化编排