mikegiannitsis/SOC-Detection-Lab
GitHub: mikegiannitsis/SOC-Detection-Lab
一个用于模拟企业攻击并测试Wazuh SIEM检测能力的实验室环境。
Stars: 0 | Forks: 0
# SOC 检测实验室:对手模拟与 TTP 分析
## 概述
构建了一个模拟企业环境,用于复现结合 SSH 暴力破解和凭证钓鱼的多向量攻击。Wazuh SIEM 部署在多个端点上,用于检测、调查和记录对手行为,并将其映射到 MITRE ATT&CK 框架,从而形成结构化的检测建议和事件响应发现。
| 工具 | 用途 |
|------|------|
| Wazuh SIEM | 安全监控、告警生成与日志分析 |
| Kali Linux | 对手模拟、暴力破解与钓鱼攻击 |
| Mailhog | 钓鱼邮件发送模拟 |
| VMware | 隔离的虚拟化企业网络 |
## 环境
所有系统均隔离在专用虚拟化网络内,以实现可控的对手模拟。
| 角色 | 机器 | 用途 |
|------|------|------|
| SIEM 管理器 | Linux 安全服务器 | Wazuh 管理器与仪表板 |
| 目标端点 | Linux 工作站 | SSH 目标与钓鱼受害者 |
| 附加端点 | Windows 服务器 | Active Directory 与端点监控 |
| 对手机器 | Kali Linux | 攻击模拟 |
## 目标
- 在多端点虚拟化环境中部署 Wazuh SIEM,以实现集中式日志收集、威胁检测和安全监控。
- 模拟一个真实的两阶段对手攻击,结合侦察、暴力破解和钓鱼,以测试检测覆盖范围。
- 将观察到的对手行为映射到 MITRE ATT&CK TTP,并制定自定义检测规则来识别和告警恶意活动。
- 基于日志分析和告警调查,产出结构化的威胁情报发现和检测改进建议。
## 对手模拟
本实验室模拟了针对一个 Linux 端点的两阶段真实攻击,模拟了威胁行为者瞄准企业凭证的行为。
**第一阶段:侦察与暴力破解尝试**
对手对目标 Linux 客户端进行了 nmap 扫描,确认 22 号 SSH 端口开放,这符合 MITRE ATT&CK T1046(网络服务发现)。随后尝试通过 SSH 密码猜测进行初始访问,符合 T1110(暴力破解),但由于凭证强度高,未能成功。
**第二阶段:凭证钓鱼与初始访问**
暴力破解失败后,通过 Mailhog 向目标用户 janed@linux-client 发送了一封钓鱼邮件,要求进行凭证验证,符合 T1566(钓鱼)。用户通过钓鱼页面提交了凭证,这些凭证被记录在 creds.log 文件中。对手使用窃取的凭证成功建立了 SSH 访问,符合 T1078(有效账户)。
## 在 Wazuh 中的检测与调查
随着 Wazuh 代理部署到所有端点,以下对手活动在 SIEM 仪表板和原始日志文件中被捕获、关联和调查:
- 识别了虚拟化网络中的攻击者和受害者 IP 地址。
- 关联了认证事件——失败的暴力破解尝试之后是使用钓鱼凭证的成功登录。
- 触发了自定义检测规则,在定义的时间窗口内对三次或更多次失败的 SSH 登录尝试发出告警。
- 追踪了从侦察到凭证获取再到初始访问确认的整个攻击进程。
## 威胁情报摘要
| 杀伤链阶段 | 对手行动 | MITRE ATT&CK TTP |
|------------|----------|-------------------|
| 侦察 | nmap 扫描识别开放的 SSH 端口 | T1046 |
| 初始访问尝试 | SSH 密码暴力破解 | T1110 |
| 凭证访问 | 发送含虚假登录页面的钓鱼邮件 | T1566 |
| 初始访问 | 使用窃取的凭证进行 SSH 登录 | T1078 |
## 检测建议
- 实施速率限制,并在多次 SSH 认证失败尝试后锁定账户。
- 在邮件服务器层面部署电子邮件安全控制,以检测和阻止钓鱼尝试。
- 对在相同来源 IP 的多次失败尝试之后成功的 SSH 登录发出告警。
- 监控 nmap 扫描特征和内部端口扫描活动。
- 扩展 Wazuh 自定义规则,以检测跨多个端点的凭证填充模式。
## 展示技能
`威胁情报` `对手模拟` `MITRE ATT&CK 映射`
`TTP 分析` `SIEM 部署` `Wazuh` `自定义检测规则`
`日志分析` `钓鱼检测` `情报报告`
**第二阶段:凭证钓鱼与初始访问**
暴力破解失败后,通过 Mailhog 向目标用户 janed@linux-client 发送了一封钓鱼邮件,要求进行凭证验证,符合 T1566(钓鱼)。用户通过钓鱼页面提交了凭证,这些凭证被记录在 creds.log 文件中。对手使用窃取的凭证成功建立了 SSH 访问,符合 T1078(有效账户)。
## 在 Wazuh 中的检测与调查
随着 Wazuh 代理部署到所有端点,以下对手活动在 SIEM 仪表板和原始日志文件中被捕获、关联和调查:
- 识别了虚拟化网络中的攻击者和受害者 IP 地址。
- 关联了认证事件——失败的暴力破解尝试之后是使用钓鱼凭证的成功登录。
- 触发了自定义检测规则,在定义的时间窗口内对三次或更多次失败的 SSH 登录尝试发出告警。
- 追踪了从侦察到凭证获取再到初始访问确认的整个攻击进程。
## 威胁情报摘要
| 杀伤链阶段 | 对手行动 | MITRE ATT&CK TTP |
|------------|----------|-------------------|
| 侦察 | nmap 扫描识别开放的 SSH 端口 | T1046 |
| 初始访问尝试 | SSH 密码暴力破解 | T1110 |
| 凭证访问 | 发送含虚假登录页面的钓鱼邮件 | T1566 |
| 初始访问 | 使用窃取的凭证进行 SSH 登录 | T1078 |
## 检测建议
- 实施速率限制,并在多次 SSH 认证失败尝试后锁定账户。
- 在邮件服务器层面部署电子邮件安全控制,以检测和阻止钓鱼尝试。
- 对在相同来源 IP 的多次失败尝试之后成功的 SSH 登录发出告警。
- 监控 nmap 扫描特征和内部端口扫描活动。
- 扩展 Wazuh 自定义规则,以检测跨多个端点的凭证填充模式。
## 展示技能
`威胁情报` `对手模拟` `MITRE ATT&CK 映射`
`TTP 分析` `SIEM 部署` `Wazuh` `自定义检测规则`
`日志分析` `钓鱼检测` `情报报告`标签:AMSI绕过, Conpot, MITRE ATT&CK框架, Object Callbacks, SOC运维, VMware虚拟化, Wazuh, Windows安全, 侦察扫描, 凭证攻击, 多端点监控, 威胁检测, 安全信息与事件管理, 安全工具集合, 安全情报, 实验室环境, 对手模拟, 插件系统, 搜索引擎爬取, 攻击技术, 暴力破解攻击, 混合加密, 红队模拟, 网络安全实验, 网络钓鱼, 自定义检测规则, 蓝队防御, 虚拟实验室