MariamGadelrab/SIEM-Detection-Engineering-Lab

# SIEM 检测工程实验 一个全面的网络安全作品集项目，展示了安全信息与事件管理 (SIEM) 检测工程能力。该项目利用自定义检测规则和安全日志分析，模拟真实世界的威胁检测场景。 ## 概述 本项目展示了安全运营中心 (SOC) 中检测工程师的完整工作流程： - 创建和维护检测规则 - 分析安全日志以发现威胁 - 将检测结果映射到 MITRE ATT&CK 框架 - 生成可执行的安全警报 - 生成事件报告 ## 功能特性 - **逼真的安全数据集**：60+ 条日志事件，模拟正常活动和攻击场景 - **5 条检测规则**：针对常见攻击技术的 Sigma 风格 YAML 规则 - **Python 检测引擎**：自动化规则处理和警报生成 - **MITRE ATT&CK 映射**：覆盖 10+ 种攻击技术 - **全面的报告**：多种安全分析输出格式 ## 项目结构 ``` siem-detection-lab/ ├── data/ │ └── security_logs.csv # Simulated security event logs ├── detections/ │ ├── detect_bruteforce.yml # Brute force detection rule │ ├── detect_suspicious_powershell.yml │ ├── detect_credential_dumping.yml │ ├── detect_privilege_escalation.yml │ └── detect_data_exfiltration.yml ├── src/ │ ├── detect.py # Main detection engine │ └── rule_engine.py # Core detection logic ├── output/ │ ├── alerts.csv # All generated alerts │ ├── critical_alerts.csv # High/Critical severity only │ ├── timeline.csv # Chronological alert timeline │ └── detection_summary.csv # Summary statistics ├── report/ │ └── detection_report.md # Detailed incident report └── README.md ``` ## 快速开始 ### 前置条件 - Python 3.7+ - pandas 库 - PyYAML 库 ### 安装 ``` # Clone 或下载此项目 cd siem-detection-lab # 安装依赖 pip install -r requirements.txt ``` ### 运行检测引擎 ``` # 基本用法 python src/detect.py --input data/security_logs.csv --output output/ # 详细输出的 Verbose 模式 python src/detect.py --input data/security_logs.csv --output output/ --verbose ``` ### 预期输出 检测引擎将： 1. 加载 5 条检测规则 2. 处理 60+ 条安全日志事件 3. 为检测到的威胁生成警报 4. 将结果保存到输出目录 5. 显示发现结果的摘要 ## 检测规则 ### 1. 暴力破解检测 - **规则 ID**: bf-001 - **MITRE ATT&CK**: T1110 (Brute Force) - **严重程度**: High - 检测来自同一来源的多次失败登录尝试 ### 2. 可疑 PowerShell - **规则 ID**: ps-001 - **MITRE ATT&CK**: T1059.001 (PowerShell) - **严重程度**: High - 识别混淆或恶意的 PowerShell 命令 ### 3. 凭证转储 - **规则 ID**: cd-001 - **MITRE ATT&CK**: T1003 (OS Credential Dumping) - **严重程度**: Critical - 检测从内存或注册表中提取凭证的尝试 ### 4. 权限提升 - **规则 ID**: pe-001 - **MITRE ATT&CK**: T1078 (Valid Accounts) - **严重程度**: High - 识别未经授权的权限提升尝试 ### 5. 数据渗出 - **规则 ID**: de-001 - **MITRE ATT&CK**: T1041 (Exfiltration Over C2) - **严重程度**: Critical - 检测数据压缩及传输到外部 IP 的行为 ## 模拟攻击场景 数据集包含逼真的攻击链： 1. **暴力破解攻击**：多次失败登录后成功入侵 2. **后渗透阶段**：执行带有混淆的可疑 PowerShell 3. **凭证窃取**：LSASS 内存转储和注册表提取 4. **权限提升**：将后门账户添加到管理员组 5. **数据渗出**：压缩并传输敏感数据 ## 展示技能 - 安全日志分析和关联 - 检测规则开发 (Sigma 格式) - 用于安全自动化的 Python 编程 - MITRE ATT&CK 框架应用 - 事件检测与响应 - 安全报告和文档编写 ## 学习成果 本项目展示了以下方面的熟练程度： - SIEM 概念和操作 - 威胁检测方法论 - 安全事件关联 - 攻击模式识别 - 检测工程最佳实践 ## 未来增强 - 基于机器学习的异常检测 - 集成真实的 SIEM 平台 (Splunk, Elastic) - 针对更多攻击技术的额外检测规则 - 实时日志流和处理 - 自动化响应动作 ## 作者 Mariam Gadelrab 网络安全 / SOC 分析师作品集项目 ## 许可证 本项目用于教育和作品集展示目的。 ## 参考资料 - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [Sigma 检测规则](https://github.com/SigmaHQ/sigma) - [Windows 安全事件日志](https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview)

标签：AMSI绕过, Cloudflare, CSV导出, EDR, meg, MITRE ATT&CK, PoC, Python, Sigma 规则, YAML, 信息安全, 凭证转储, 协议分析, 域名分析, 威胁检测, 安全告警, 安全库, 安全报告, 安全运营中心, 恶意代码分类, 攻击模拟, 数据渗出, 无后门, 暴力破解, 权限提升, 红队行动, 网络安全, 网络映射, 脆弱性评估, 逆向工具, 防御工程, 隐私保护, 驱动签名利用