ashuu19/soc-detection-engineering-lab
GitHub: ashuu19/soc-detection-engineering-lab
一个面向SOC分析师的检测工程学习项目,通过Sigma规则、攻击模拟和MITRE映射演示安全运营中的威胁检测流程。
Stars: 0 | Forks: 0
# SOC 检测工程实验室
一个网络安全检测工程项目,演示安全运营中心 (SOC) 团队如何使用 Sigma 规则、日志分析和 SIEM 查询来检测攻击者活动。
## 项目概述
本项目模拟了 SOC 分析师执行的真实世界安全监控。它包含针对常见攻击者技术(如暴力破解攻击、凭据转储、可疑 PowerShell 执行和横向移动)的检测规则。
检测规则使用 **Sigma** 编写,并映射到 **MITRE ATT&CK 框架**。这些规则被转换为 SIEM 查询,以演示它们将如何部署在安全监控平台中。
## 使用技术
* Sigma (检测规则格式)
* Splunk 查询转换
* Bash (攻击模拟脚本)
* 日志分析
* MITRE ATT&CK 框架
## 已实现的检测规则
| 检测规则 | 描述 |
| ------------------------------- | ---------------------------------------------- |
| 暴力破解登录检测 | 检测重复的登录失败尝试 |
| 可疑 PowerShell 执行 | 检测编码的 PowerShell 命令 |
| 凭据转储检测 | 检测对 LSASS 进程内存的访问 |
| 管理员账户创建 | 检测新管理员账户的创建 |
| 可疑 RDP 登录 | 检测远程桌面登录 |
| 计划任务持久化 | 检测计划任务的创建 |
| 哈希传递检测 | 检测 NTLM 认证异常 |
| SMB 横向移动 | 检测可疑的 SMB 连接 |
## MITRE ATT&CK 映射
| 技术 | MITRE ID | 描述 |
| --------------------- | -------- | ------------------------------------- |
| 暴力破解 | T1110 | 密码猜测攻击 |
| PowerShell 执行 | T1059 | 通过脚本执行命令 |
| 凭据转储 | T1003 | 从内存中提取凭据 |
| 创建账户 | T1136 | 创建新用户账户 |
| 远程服务 (RDP) | T1021 | 用于横向移动的远程访问 |
| 计划任务 | T1053 | 使用计划任务进行持久化 |
| 哈希传递 | T1550 | 使用密码哈希进行认证 |
| 横向移动 | T1021 | 系统间的移动 |
## 项目结构
```
SOC-Detection-Rules
│
├── sigma_rules
│ ├── bruteforce_login.yml
│ ├── suspicious_powershell.yml
│ ├── credential_dumping_lsass.yml
│ ├── admin_account_creation.yml
│ ├── suspicious_rdp_login.yml
│ ├── scheduled_task_persistence.yml
│ ├── pass_the_hash.yml
│ └── lateral_movement_smb.yml
│
├── logs
│ ├── bruteforce_log.txt
│ ├── powershell_attack_log.txt
│ └── credential_dumping_log.txt
│
├── queries
│
├── mitre_mapping
│
└── lab
├── simulate_attacks.sh
└── detect_attacks.sh
```
## 攻击模拟实验室
项目中包含一个小型 SOC 实验室环境。它通过生成触发检测规则的日志事件来模拟攻击者行为。
模拟示例:
* 暴力破解登录尝试
* 可疑 PowerShell 执行
* 凭据转储尝试
## 检测工作流示例
1. 攻击模拟生成日志事件
2. 检测脚本分析日志
3. Sigma 规则识别可疑模式
4. 规则转换为 SIEM 查询
5. 为 SOC 分析师生成告警
## 学习成果
通过本项目,探索了以下网络安全概念:
* 检测工程
* 日志分析
* SOC 监控工作流
* 威胁检测技术
* MITRE ATT&CK 映射
* SIEM 查询生成
## 未来改进
* 与真实 SIEM 平台集成
* 自动化告警系统
* 更多 MITRE ATT&CK 检测规则
* 与威胁情报源集成
## 作者
Aryan Yadav
网络安全爱好者 | SOC 分析师候选人
标签:AMSI绕过, BurpSuite集成, CIDR扫描, Cloudflare, IPv6, LSASS, MITRE ATT&CK, Modbus, Pass-the-Hash, PE 加载器, PoC, PowerShell, RDP, SIEM查询, Sigma规则, SMB, Splunk查询转换, 威胁检测, 安全运营, 应用安全, 恶意行为检测, 扫描框架, 攻击模拟, 暴力破解, 横向移动, 渗透测试防御, 目标导入, 管理员提权, 编码命令检测, 编程规范, 网络安全, 错误配置检测, 隐私保护, 驱动签名利用