TiagoKrysiaki/lab-soc-linux

# 🛡️ SOC Linux 实验室 – 监控、检测、调查、分类与响应     使用 Wazuh (SIEM) 演示真实世界检测、调查和响应的实用 SOC 实验室。 使用 **Linux、Wazuh (SIEM)、auditd 和日志分析**，专注于**安全运营中心 (SOC)** 实践的动手实验室。 ## 🎯 目标 模拟真实世界的攻击场景并涵盖完整的 SOC 工作流程： - 监控 - 检测 - 调查（时间线 + IoCs） - 分类（MITRE ATT&CK） - 响应（遏制 + 补救） ## 🧠 SOC 方法论 监控 → 检测 → 调查 → 分类 → 响应 ## 🚨 展示的关键技能 - SIEM 监控和警报 (Wazuh) - 暴力破解检测和关联 - 日志分析 (auth.log、auditd) - 事件调查（时间线 + IoCs） - 威胁分类 (MITRE ATT&CK) - 响应和补救 (Fail2ban、加固) ## 🧰 工具 - Wazuh (SIEM) - auditd - auth.log - Fail2ban - iptables - Linux CLI ## 📊 重点实验室 | 实验室 | 描述 | 技术 | MITRE | |-----|------------|-------------|-------| | [33](./33-soc-sqli-exfiltration-enumeration-detection-response) | SQL 注入 (SQLi) + 数据渗透 + 枚举检测 + 响应验证 | Wazuh (日志分析)，Apache (access.log)，DVWA | T1190, T1048, T1087 | | [32](./32-soc-dns-tunneling-exfiltration-detection-response-validation) | DNS 隧道 + 数据渗透 + 行为检测 + 出站过滤遏制 | Suricata (eve.json)，tcpdump | T1048.003, T1071.004 | | [31](./31-soc-web-shell-rce-detection-investigation-response) | Web shell 上传 + 远程命令执行 (RCE) + 利用后调查 + 响应验证 | Wazuh，Apache (access.log)，DVWA | T1190, T1505.003, T1059 | | [30](./30-soc-ssh-bruteforce-persistence-logtampering-response) | SSH 暴力破解 + 有效访问 + 持久化 + 日志篡改 + 响应验证 | Wazuh，auth.log，auditd，Fail2ban | T1110.001, T1078, T1098, T1070.004, T1059 | | [29](https://github.com/TKrysiaki/lab-soc-linux/tree/main/29-soc-ssh-bruteforce-detection-response-persistence-log-tampering) | SSH 暴力破解 + 有效访问 + 持久化 + 日志篡改 | Wazuh，auth.log | T1110.001, T1078, T1098, T1070.004 | | [28](https://github.com/TKrysiaki/lab-soc-linux/tree/main/28-soc-ssh-bruteforce-incident-response-persistence-hardening) | SSH 暴力破解 + 有效访问 + 持久化（无 SIEM 关联） | Linux 日志，auth.log | T1110.001, T1078, T1098 | | [27](https://github.com/TKrysiaki/lab-soc-linux/tree/main/27-soc-ssh-bruteforce-detection-response-no-siem) | SSH 暴力破解检测（手动日志分析，无 SIEM） | Linux 日志，auth.log | T1110.001 | | [26](https://github.com/TKrysiaki/lab-soc-linux/tree/main/26-soc-ssh-bruteforce-incident-correlation-network-analysis) | SSH 暴力破解检测 + 网络关联 | Wazuh，logs | T1110.001 | | [25](https://github.com/TKrysiaki/lab-soc-linux/tree/main/25-soc-ssh-bruteforce-detection-response-persistence-remediation) | SSH 暴力破解检测 + 响应 + 补救 (Fail2ban) | Wazuh，Fail2ban | T1110.001 | | [24](https://github.com/TKrysiaki/lab-soc-linux/tree/main/24-soc-ssh-bruteforce-detection-response-correlation) | SSH 暴力破解检测 + 事件关联（SIEM 规则） | Wazuh | T1110.001 | | [23](https://github.com/TKrysiaki/lab-soc-linux/tree/main/23-soc-incident-response-bruteforce-correlation-threatintel) | SSH 暴力破解检测 + 调查（时间线 + IoCs） | Wazuh | T1110.001 | | [22](https://github.com/TKrysiaki/lab-soc-linux/tree/main/22-soc-bruteforce-detection-response-wazuh-thehive) | 使用 SIEM 进行 SSH 暴力破解检测（Wazuh 规则） | Wazuh | T1110.001 | | [21](https://github.com/TKrysiaki/lab-soc-linux/tree/main/21-ssh-web-attack-detection-correlation-auto-response-wazuh) | Web 攻击检测 + 关联（HTTP 日志 + SIEM） | Wazuh，web logs | T1190, T1059 | | [20](https://github.com/TKrysiaki/lab-soc-linux/tree/main/20-ssh-bruteforce-detection-response-wazuh-fail2ban) | 暴力破解检测 + 自动化封锁（Fail2ban 集成） | Wazuh，Fail2ban | T1110.001 | ## 📂 实验室结构 每个实验室包括： - `README.md` → 概述 - `report.md` → 详细的 SOC 事件报告 - 证据（日志、警报、截图） ## 🔍 检测示例 (Wazuh) - 规则：`40112` - 事件：多次身份验证失败后跟一次成功 - 分类： - T1110 – 暴力破解 - T1078 – 有效账户 ## 🚀 即将推出的实验室 - Web shell 检测 (Linux) - DNS 隧道 / 数据渗透 - 高级 Wazuh 关联规则 ## 🧑‍💻 作者 Tiago Krysiaki 专注领域：SOC N1 | Blue Team | 威胁检测 LinkedIn: https://www.linkedin.com/in/tiago-krysiaki 

标签：AMSI绕过, BurpSuite集成, CISA项目, Cloudflare, DNS隧道, GitHub Advanced Security, Metaprompt, MITRE ATT&CK, OPA, PoC, SQL注入检测, Wazuh, Webshell检测, 威胁检测, 安全事件调查, 安全加固, 安全实验室, 安全运营中心, 库, 应急响应, 数据渗出, 暴力破解, 网络安全, 网络映射, 防御性安全, 隐私保护, 靶场