Divy1011/Elastic-SIEM-Therat-Detection

# Elastic SIEM 威胁检测实验 ## 项目概述 使用 Elastic SIEM、Sysmon 和 Kali Linux 构建的高级 SOC 威胁检测实验。针对 Windows 目标机器模拟了完整的攻击链，并构建了自定义检测规则，生成了 213 条真实告警。 该项目展示了现实世界中的 SOC 分析师技能，包括威胁检测、告警研判和事件响应。 ## 架构 ``` Kali Linux (Attacker) ↓ Real attack simulation ↓ Windows PC (Victim) + Sysmon ↓ Elastic Agent collects telemetry ↓ Elastic Cloud SIEM processes logs ↓ Custom KQL detection rules fire alerts ↓ Kibana dashboard visualizes threats ↓ SOC analyst investigates 213 alerts ``` ## 所用工具 | 工具 | 用途 | |---|---| | Elastic Cloud SIEM | 基于 Cloud 的 SIEM 和告警管理 | | Elastic Agent | 日志收集和端点监控 | | Elastic Defend | 端点检测与响应 | | Sysmon | 深度 Windows 遥测数据捕获 | | Kibana | 仪表板和数据可视化 | | Kali Linux | 攻击模拟机 | | Nmap | 网络侦察和端口扫描 | | Hydra | 暴力破解攻击模拟 | | VirtualBox | Kali Linux 虚拟化 | ## 模拟攻击链 | 阶段 | 攻击 | 工具 | MITRE 技术 | |---|---|---|---| | Reconnaissance | 网络主机发现 | Nmap -sn | T1046 | | Scanning | 全端口 + 服务扫描 | Nmap -sV -sC -O | T1046 | | Vulnerability Scan | SMB 漏洞检查 | Nmap smb-vuln scripts | T1210 | | Brute Force | SMB 认证攻击 | Hydra | T1110 | | Post Exploitation | 权限枚举 | whoami /priv | T1069 | | Discovery | 用户枚举 | net user | T1087 | | Discovery | 网络配置 | ipconfig /all | T1016 | | Discovery | 系统信息 | systeminfo | T1082 | ## 创建的自定义检测规则 | 规则名称 | 严重程度 | MITRE 技术 | |---|---|---| | Nmap Port Scan Detected | High | T1046 | | Mimikatz Credential Dumping Detected | Critical | T1003 | | Suspicious Encoded PowerShell Execution | High | T1027 | | Brute Force Authentication Failure Detected | High | T1110 | | Suspicious Network Reconnaissance Detected | Medium | T1046 | ## 结果 - 生成告警总数：**213** - 告警严重程度：Medium - 主要触发规则：Suspicious Network Reconnaissance - 目标主机：DESKTOP-DDM3ULB - 攻击来源：Kali Linux VM - 检测率：100% 捕获模拟攻击 ## 关键发现 | 发现 | 详情 | |---|---| | 发现开放端口 | 135, 139, 445, 3001, 5001, 8000, 8089, 9200 | | 识别出的服务 | Windows RPC, NetBIOS, SMB, HTTP | | SMB 签名 | 已启用但非必需（存在漏洞）| | OS 指纹识别 | Windows 10/11 | | 暴力破解尝试 | 14,344,399 次密码尝试 | ## Kibana 仪表板面板 - Alerts by Severity —— 显示告警严重级别的分布 - Top Source IPs —— 识别最活跃的攻击 IP 地址 - Security Events Over Time —— 显示攻击峰值的时间线 - Event Categories —— 网络、进程、文件、注册表事件的细分 ## 检测工程亮点 所有 5 条自定义规则均使用 KQL (Kibana Query Language) 编写，并映射到 MITRE ATT&CK 框架。规则配置为每 5 分钟运行一次，具有 1 分钟的回溯窗口，以实现近实时检测。 ## MITRE ATT&CK 覆盖范围 ``` Reconnaissance → T1046 Network Service Discovery Initial Access → T1190 Exploit Public-Facing Application Execution → T1059 Command and Scripting Interpreter Persistence → T1053 Scheduled Task Privilege Esc → T1069 Permission Groups Discovery Defense Evasion → T1027 Obfuscated Files or Information Credential Access → T1003 OS Credential Dumping Discovery → T1082 System Information Discovery Discovery → T1087 Account Discovery Lateral Movement → T1210 Exploitation of Remote Services ``` ## 复现步骤 1. 在 cloud.elastic.co 创建免费的 Elastic Cloud 账户 2. 创建新的 Security serverless 项目 3. 在 Windows 目标机器上安装 Elastic Agent 4. 使用 olafhartong 模块化配置安装 Sysmon 5. 在 Elastic Fleet 中添加 Windows 集成 6. 在 VirtualBox 中安装 Kali Linux 7. 从 Kali 对 Windows 目标运行攻击链 8. 在 Elastic Security 中创建自定义 KQL 检测规则 9. 构建 Kibana 仪表板以可视化威胁 10. 在 Elastic SIEM 中分析生成的告警 ## 截图 | 截图 | 描述 | |---|---| | kibana_dashboard.png | 显示实时威胁数据的 4 面板 SOC 仪表板 | | elastic_alerts.png | 由自定义检测规则触发的 213 条告警 | | kali_attacks.png | 正在运行 Nmap 和 Hydra 攻击的 Kali Linux | | detection_rules.png | Elastic Security 中的 5 条自定义 KQL 规则 | ## 与标准项目的对比 大多数 SIEM 实验只是被动地收集日志。 本项目更进一步： - 使用真实的攻击机 (Kali Linux) - 模拟完整的 8 阶段攻击链 - 从零开始编写自定义检测规则 - 生成并研判真实告警 - 像真正的 SOC 分析师一样记录发现 ## 相关项目 - [Splunk 防火墙日志分析] - [SOC 自动化 —— Shuffle SOAR + TheHive] ## 展示技能 - Elastic SIEM 配置与管理 - KQL 检测规则编写 - 威胁狩猎与告警研判 - 使用 Kali Linux 进行攻击模拟 - Sysmon 部署与配置 - Kibana 仪表板创建 - MITRE ATT&CK 框架映射 - 事件文档记录 - 检测工程

标签：AMSI绕过, ATT&CK框架, Conpot, CTI, Elastic Stack, HTTP/HTTPS抓包, Hydra, KQL, Nmap, PoC, SMB漏洞, Sysmon, Windows安全, XXE攻击, 仪表盘, 后渗透, 告警规则, 威胁检测, 安全可视化, 安全运营中心, 实验室环境, 态势感知, 插件系统, 攻击模拟, 数据流可视化, 数据统计, 无线安全, 暴力破解, 流量重放, 端口扫描, 端点检测, 网络安全, 网络安全实验, 网络映射, 虚拟驱动器, 越狱测试, 速率限制, 隐私保护, 驱动签名利用