ruthik45/BlueTeam-SOC-Detection-Lab
GitHub: ruthik45/BlueTeam-SOC-Detection-Lab
这是一个基于 Splunk 和 Sysmon 构建的 SOC 检测实验环境,帮助用户通过模拟攻击和日志分析实践企业安全监控与威胁检测的完整工作流程。
Stars: 0 | Forks: 0
# BlueTeam-SOC-Detection-Lab
实战 SOC 检测实验室,演示了使用 Splunk、Sysmon、Windows 日志和 Kali Linux 等工具进行的 SIEM 监控、攻击模拟和检测工程。
# SOC 检测实验室 – Splunk + Sysmon
## 项目概述
本项目演示了使用 Splunk SIEM、Windows 日志记录和 Sysmon 遥测技术设计并实现**安全运营中心 (SOC) 检测实验室**的过程。
该实验室旨在模拟真实世界的攻击场景,并展示 SOC 分析师如何检测、调查和响应安全事件。
本实验室重点关注:
• 日志收集
• 检测工程
• 攻击模拟
• SOC 调查工作流
# 实验目标
本项目的主要目标是:
• 构建 SOC 监控环境
• 使用 Sysmon 收集端点遥测数据
• 将日志转发至 Splunk SIEM
• 从攻击者机器模拟攻击
• 针对恶意活动开发检测规则
• 执行 SOC 分析师调查程序
[实验室架构文档](Lab-Architecture/README.md)
该 SOC 实验室由三个主要系统组成:
1. 攻击者机器 – Kali Linux
2. 受害者机器 – 安装了 Sysmon 的 Windows 10
3. SIEM 服务器 – 安装了 Splunk 的 Ubuntu
### 日志流向
攻击者 → 受害者 → 日志生成 → 转发器 → Splunk → 检测告警 → SOC 调查
# 网络架构
```
┌───────────────────┐
│ Kali Linux │
│ (Attacker) │
└─────────┬─────────┘
│
│ Attack Traffic
│
┌─────────▼─────────┐
│ Windows 10 │
│ Victim Machine │
│ │
│ Sysmon Installed │
│ Splunk Forwarder │
└─────────┬─────────┘
│
│ Log Forwarding
│
┌─────────▼─────────┐
│ Splunk SIEM │
│ Ubuntu Server │
└───────────────────┘
```
# 使用的技术
| 技术 | 用途 |
| ------------------------ | ------------------ |
| Splunk SIEM | 日志分析与检测 |
| Sysmon | 端点遥测 |
| Splunk Universal Forwarder | 日志转发 |
| Kali Linux | 攻击模拟 |
| Windows 10 | 目标机器 |
| VirtualBox | 实验室虚拟化 |
# 日志来源
该 SOC 实验室收集了以下日志。
### Windows 安全日志
| 事件 ID | 描述 |
| ------- | ------------ |
| 4624 | 登录成功 |
| 4625 | 登录失败 |
| 4688 | 进程创建 |
### Sysmon 日志
| 事件 ID | 描述 |
| ------- | ------------ |
| 1 | 进程创建 |
| 3 | 网络连接 |
| 7 | DLL 加载 |
| 11 | 文件创建 |
这些日志提供了对端点活动的详细可见性。
# 实验设置
## Splunk 安装
Splunk 安装在 SIEM 服务器上,并配置为接收来自端点的日志。
```
sudo dpkg -i splunk.deb
sudo /opt/splunk/bin/splunk start
```
## Sysmon 安装
Sysmon 安装在 Windows 端点上,用于生成详细的系统活动日志。
```
sysmon64.exe -i sysmonconfig.xml
```
## Splunk Forwarder 配置
Splunk Universal Forwarder 安装在 Windows 机器上,用于将日志发送到 Splunk 服务器。
示例配置:
```
[WinEventLog://Security]
disabled = 0
[WinEventLog://System]
disabled = 0
[WinEventLog://Microsoft-Windows-Sysmon/Operational]
disabled = 0
```
# 攻击模拟
实验室中模拟了以下攻击场景。
### 端口扫描
从 Kali Linux 执行的命令:
```
nmap -sS
```
检测方法:
Sysmon 事件 ID 3 记录了指向不同端口的多个网络连接。
### 暴力破解登录尝试
通过多次身份验证尝试执行的攻击。
检测方法:
Windows 安全事件 ID 4625。
# 检测工程
创建了 Splunk 检测查询以识别可疑活动。
### 端口扫描检测查询
```
index=sysmon EventCode=3
| stats count by src_ip dest_port
| where count > 20
```
此查询检测在短时间内扫描多个端口的主机。
# 调查工作流
SOC 调查遵循以下工作流:
1. Splunk 中触发告警
2. SOC 分析师审查告警详情
3. 识别源 IP 地址
4. 分析与该活动相关的日志
5. 确认恶意行为
6. 升级至事件响应团队
# 截图
包含演示以下内容的截图:
• Splunk 仪表板
• 检测告警
• 攻击执行
• 日志分析
# 遇到的挑战
在实验室设置过程中遇到了几个问题。
示例:
• 日志转发配置错误
• 网络适配器冲突
• Splunk 索引配置问题
这些问题通过故障排除和配置更新得以解决。
# 经验教训
本项目提供了以下方面的实践经验:
• 安全监控架构
• 日志分析与检测工程
• SOC 调查程序
• 攻击模拟与检测
# 未来改进
该实验室可能的增强功能包括:
• 整合额外的日志来源
• 实施自动化告警
• 整合威胁情报源
• 部署 SOAR 平台
# 作者
该 SOC 检测实验室是作为网络安全研究和实战 SOC 培训的一部分创建的。
本项目展示了对 SIEM 监控和攻击检测的实战经验。
标签:HTTP/HTTPS抓包, PB级数据处理, PE 加载器, SOC实验室, Sysmon, Windows日志, 威胁 hunting, 安全运维, 安全运营中心, 态势感知, 攻击模拟, 端点遥测, 管理员页面发现, 红队行动, 网络安全, 网络映射, 防御监视, 隐私保护, 驱动签名利用