greg1125/SOC-Detection-Engineering-lab

# **SOC 检测工程实验室 – Elastic SIEM + 对手模拟** ## **项目概述** 本项目展示了一个模拟 **安全运营中心 (SOC)** 环境的设计与实现，该环境能够在分段的实验室网络中检测、分析和响应恶意活动。 该实验室同时模拟攻击者行为和防御监控，允许针对真实的攻击场景测试检测规则。恶意活动是通过对手模拟主机和命令控制基础设施生成的，而端点遥测数据则通过部署在被监控系统上的集中式日志代理进行收集。 最终结果是一个完整的 **攻击 → 检测 → 告警 → 调查 → 工单** 工作流程，反映了现实世界 SOC 环境中使用的安全监控管道。 ## **项目目标** 本项目的主要目标是设计并部署一个可工作的 SOC 监控环境，能够在受控网络中检测恶意行为。 主要目标包括： - 设计分段的虚拟 SOC 实验室网络 - 使用 Elastic SIEM 部署集中式日志收集 - 在环境中模拟攻击者行为 - 创建检测规则以识别恶意活动 - 基于检测逻辑生成告警 - 通过 osTicket 自动创建事件工单 通过完成这些目标，本项目展示了在安全监控、检测工程和 SOC 事件响应工作流程方面的实践经验。 ## **实验室架构** 该环境使用部署在本地 Hypervisor 中的多台虚拟机构建。每个系统代表企业安全监控环境中的典型组件。 该架构由多个功能层组成，负责生成遥测数据、收集日志、分析事件和升级事件。 ### **攻击模拟层** 专用的对手模拟主机用于在环境中生成恶意活动。该系统对受监控的端点执行受控攻击场景，以产生真实的安全遥测数据。 模拟攻击活动的示例包括： - 暴力破解认证尝试 - 远程命令执行 - 命令控制 Beacon 通信 这些活动使监控基础设施能够检测并响应类似于真实对手技术的行为。 ### **命令控制基础设施** 实验环境中部署了命令控制 (C2) 服务器，以模拟受损端点与攻击者基础设施通信的行为。 在遭到入侵后，端点会与 C2 服务器建立出站通信，模仿恶意软件与攻击者控制的基础设施通信的行为。 这使监控系统能够检测如下行为： - 可疑的出站网络连接 - Beacon 通信活动 - 未授权的命令执行 ### **端点层** 受监控环境包括代表网络中企业端点的 **Windows 和 Linux 系统**。 这些系统生成的遥测数据包括： - 认证事件 - 进程创建活动 - 网络连接 - 系统日志 每个端点运行一个遥测收集代理，将系统活动转发到集中式监控平台。 ### **遥测收集层** 端点遥测数据使用 **Elastic Agent** 收集，它充当统一的数据收集代理，能够从多个来源收集日志。 代理通过 **Fleet Server** 进行集中管理，提供了代理注册、配置和策略执行的集中管理功能。 Fleet 允许管理员： - 注册监控代理 - 部署配置策略 - 监控代理健康状况 - 更新数据收集规则 ### **SIEM 和日志分析层** 本项目使用的中央监控平台是 **Elastic Stack**，它充当安全信息和事件管理 (SIEM) 系统。 该 Stack 包含两个主要组件： **Elasticsearch** 存储并索引所有收集到的安全遥测数据，允许高效地搜索和分析大量事件数据。 **Kibana** 提供可视化和分析界面，用于搜索日志、构建仪表板、创建检测规则和调查告警。 ## **检测工程** 在 SIEM 平台中创建了自定义检测规则，以识别攻击模拟期间生成的对手行为。 ### **SSH 暴力破解检测** 此检测识别针对 Linux 服务器的重复失败认证尝试。 如果在短时间内来自同一源 IP 发生多次登录失败，SIEM 会生成告警，指示潜在的暴力破解攻击。 分析的相关字段包括： - 用户名 - 源 IP 地址 - 认证结果 ### **RDP 暴力破解检测** 监控 Windows 认证日志以检测针对特权账户的重复失败登录尝试。 检测逻辑分析 Windows Security Event 日志以识别如下模式： - 重复的 Event ID 4625 登录失败 - 针对管理账户的登录尝试 - 源自单一源 IP 的认证尝试 ### **命令控制检测** 实验室环境还通过命令控制通信模拟受损端点行为。 检测规则监控端点遥测数据，寻找可能表明远程命令执行的可疑出站网络活动和异常进程行为。 ## **告警与事件工作流程** 当检测规则识别出可疑行为时，SIEM 会生成包含事件详细信息的告警。 每个告警可能包括： - 受影响的主机 - 源 IP 地址 - 涉及的用户账户 - 检测规则名称 - 事件时间戳 这些告警代表需要调查的潜在安全事件。 ## **自动化事件工单系统** 为了模拟真实的 SOC 工作流程，SIEM 生成的告警会自动转发到 **osTicket**，这是一个开源的事件跟踪系统。 当检测规则触发时： 1. SIEM 生成告警 2. 告警触发 Webhook 动作 3. 告警数据被转发到 osTicket 4. 创建新的事件工单 这演示了告警如何在 SOC 运营中转变为可跟踪的事件。 ## **安全监控仪表板** 在 SIEM 界面中创建了自定义仪表板，以可视化环境中的安全活动。 这些仪表板提供对以下内容的可见性： - 认证失败 - 检测规则触发 - 端点告警 - 网络活动 仪表板帮助分析师快速识别可疑模式并监控环境的健康状况。 ## **展示的技能** 本项目展示了以下方面的实践经验： - SIEM 部署与配置 - 检测规则工程 - 端点遥测收集 - 威胁模拟 - SOC 事件响应工作流程 - 安全自动化 ## **使用的技术** - Elastic Stack (Elasticsearch, Kibana) - Elastic Agent - Fleet Server - Mythic C2 Framework - Kali Linux - Windows Server - Ubuntu Server - osTicket - VMware Workstation ## **未来改进** 该环境计划进行的增强包括： - Active Directory 攻击模拟 - 横向移动检测 - Honeypot 集成 - SOAR 自动化工作流程 ## **结论** 本项目展示了 SOC 环境中安全监控的完整生命周期。通过结合对手模拟、集中式日志分析、检测工程和自动化事件跟踪，该实验室复现了现代安全运营团队使用的许多工作流程。 通过此实施，本项目展示了在构建和运营能够检测、分析和响应恶意活动的安全监控环境方面的实践经验。

标签：adversary simulation, AMSI绕过, Cybersecurity, Elastic SIEM, Elastic Stack, Incident Response, IP 地址批量处理, Log Management, MIT许可证, Mythic C2, osTicket, PE 加载器, 告警自动化, 命令与控制, 威胁检测, 安全实验室, 安全工具集合, 安全运营中心, 实验环境, 对手模拟, 已泄露账号检查, 数据展示, 流量重放, 紫队, 红队, 红队行动, 网络安全, 网络安全审计, 网络映射, 越狱测试, 防御态势, 隐私保护