mvishal-02/SOC-EDR-Grid

# Sentient Shield SOC-EDR Grid 🛡️ ### 安全运营中心 (SOC) 监控实验室 ## 项目概述 **Sentient Shield SOC-EDR Grid** 是一个安全运营中心 (SOC) 实验室，旨在模拟企业级的安全监控和威胁检测。 该项目使用 **Wazuh SIEM**、**Sysmon**、**Atomic Red Team** 和多个端点来监控系统活动，检测攻击，并使用 **MITRE ATT&CK 框架**可视化安全事件。 该实验室演示了 SOC 环境如何检测恶意活动并实时响应威胁。 # 项目目标 * 部署功能完备的 **SOC 监控基础设施** * 收集并分析来自多个端点的日志 * 实施 **文件完整性监控** * 配置 **主动响应机制** * 模拟现实世界的网络攻击 * 将警报映射到 **MITRE ATT&CK 框架** # 使用的工具和技术 | 工具 | 用途 | | --------------- | -------------------------------------- | | Wazuh | SIEM 和端点检测与响应 (EDR) | | Ubuntu Server | SOC 管理服务器 | | Windows 10 | 受监控的端点 | | Kali Linux | 攻击模拟机 | | Sysmon | Windows 系统活动日志记录 | | Atomic Red Team | 攻击模拟框架 | | Tailscale | 安全网络连接 | | VirtualBox | 虚拟化实验室环境 | # SOC 实验室架构 ``` +----------------------+ | Wazuh Dashboard | +----------+-----------+ | | +----------v-----------+ | Wazuh Manager | +----------+-----------+ | | +----------v-----------+ | Wazuh Indexer | +----------+-----------+ | ------------------------------------------------- | | | +------v------+ +------v------+ +------v------+ | Windows | | Kali Linux | | SOC Server | | Endpoint | | Attacker | | Ubuntu | +-------------+ +-------------+ +-------------+ ``` # 第 1 周 – SOC 基础设施搭建 ## 目标 部署 SOC 基础设施并安装 Wazuh SIEM 平台。 ## 已完成任务 * 已安装 **Wazuh Manager** * 已安装 **Wazuh Indexer** * 已安装 **Wazuh Dashboard** * 已将 Ubuntu 配置为 SOC 服务器 * 已将 Agent 连接到 Wazuh 服务器 ## Wazuh 安装 ``` curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash wazuh-install.sh -a ``` ## 访问 Dashboard ``` https://SOC-SERVER-IP ``` Dashboard 提供： * 安全事件可视化 * 警报监控 * Agent 管理 * MITRE ATT&CK 映射 # 第 2 周 – Agent 部署与日志监控 ## 目标 将端点连接到 SOC 服务器并收集系统日志。 ## Windows Agent 安装 在 Windows 上安装 Wazuh Agent 后： ``` Get-Service wazuh ``` Agent 已成功连接到 SOC 服务器。 ## 日志监控 Wazuh 监控了： * Windows 安全日志 * 系统日志 * 应用程序日志 * 文件更改 * 认证事件 ## 文件完整性监控 Wazuh 文件完整性监控 (FIM) 可检测对文件的未经授权更改。 示例警报： ``` Rule ID: 550 Description: Integrity checksum changed MITRE Technique: T1565.001 Tactic: Impact ``` 这有助于检测 **数据篡改攻击**。 # 第 3 周 – 主动响应实施 ## 目标 启用对安全威胁的自动响应。 ## 主动响应概念 主动响应允许 Wazuh 在特定规则触发时自动响应。 示例包括： * 封禁攻击者 IP 地址 * 终止可疑进程 * 防止暴力破解攻击 ## 主动响应配置 配置文件： ``` /var/ossec/etc/ossec.conf ``` 示例配置： ``` firewall-drop local 5710 ``` ## 攻击模拟 从 Kali 攻击机模拟了暴力破解风格的登录尝试。 示例命令： ``` ssh wronguser@SOC-IP ``` ## 检测结果 Wazuh 生成了如下警报： ``` Multiple authentication failures detected Source IP: Kali attacker machine Rule ID: 5710 ``` 主动响应可以自动封禁攻击者。 # 第 4 周 – 威胁模拟 ## 目标 使用 **Atomic Red Team** 模拟真实的网络攻击。 ## Atomic Red Team 安装 ``` Install-AtomicRedTeam -getAtomics Import-Module C:\AtomicRedTeam\invoke-atomicredteam\Invoke-AtomicRedTeam.psd1 ``` ## 攻击模拟 模拟的技术： ``` MITRE ATT&CK Technique: T1490 Name: Inhibit System Recovery ``` 执行的命令： ``` Invoke-AtomicTest T1490 ``` 这会触发： ``` vssadmin delete shadows /all /quiet ``` 此命令通常被勒索软件用于阻止系统恢复。 ## 检测过程 ``` Atomic Red Team Attack ↓ Sysmon logs process execution ↓ Wazuh agent sends logs ↓ Wazuh manager analyzes logs ↓ Alert generated in dashboard ``` ## MITRE ATT&CK 映射 示例映射： ``` Technique: T1490 Tactic: Impact Description: Inhibit System Recovery ``` 这展示了 Wazuh 将警报映射到 MITRE ATT&CK 技术的能力。 # 成果 SOC 实验室成功演示了： * 集中式安全监控 * 实时警报检测 * 端点监控 * 文件完整性监控 * 使用 Atomic Red Team 进行威胁模拟 * MITRE ATT&CK 攻击映射 # 结论 **Sentient Shield SOC-EDR Grid** 项目成功构建了一个功能完备的 SOC 环境，能够检测可疑活动和模拟的网络攻击。 该项目提供了以下方面的实践经验： * SIEM 部署 * 端点监控 * 威胁检测 * 攻击模拟 * SOC 运营 # 未来改进 可能的增强功能包括： * 威胁情报集成 * 网络流量分析 * 恶意软件检测 * 自动化事件响应工作流 * 与外部安全工具集成 # 许可证 本项目仅供**教育和研究目的**使用。

标签：AMSI绕过, Atomic Red Team, BurpSuite集成, Cloudflare, EDR, Linux 安全, MITRE ATT&CK, Python3.6, RFI远程文件包含, Sysmon, Tailscale, Wazuh, Windows 安全, x64dbg, 主动响应, 企业安全, 威胁检测, 安全可视化, 安全运营, 安全运营中心, 实验室环境, 扫描框架, 攻击模拟, 数据泄露检测, 端点检测与响应, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 脆弱性评估, 脱壳工具, 虚拟化, 隐私保护, 驱动签名利用