KuRo0x/SOC-Detection-Lab

GitHub: KuRo0x/SOC-Detection-Lab

一个完整的虚拟SOC实验环境，用于练习检测工程、日志分析和事件响应的全流程蓝队技能。

Stars: 0 | Forks: 0

SOC 检测实验室

一个我亲手搭建的实战型虚拟 SOC，用于练习真实的检测工程、日志分析和事件响应 —— 全流程实践。

## 架构 ![架构图](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/26ecf826c1003716.png) | 组件 | 工具 | 角色 | |---|---|---| | 防火墙 / 网关 | pfSense | 流量控制，DNS 强制执行，网络日志记录 | | IDS | Suricata | 数据包检测，基于特征的告警 | | 端点 | Windows 10 + Sysmon | 进程、注册表、网络、DNS 遥测数据 | | 日志转发器 | Winlogbeat | 通过 TCP 5044 将端点日志发送到 ELK | | SIEM | ELK Stack | 日志存储、处理、调查界面 | ## 检测规则 | # | 检测项 | MITRE | 来源 | 置信度 | |---|---|---|---|---| | D-001 | 可疑的编码 PowerShell | T1059.001 | Sysmon EID 1 | 🟢 高 | | D-002 | LOLBin 滥用: Certutil | T1105 | Sysmon EID 1 | 🟢 高 | | D-003 | 注册表 Run 键持久化 | T1547.001 | Sysmon EID 13 | 🟢 高 | | D-004 | 主机与用户发现 | T1033 | Windows Security | 🟡 中 | | D-005 | DNS 策略违规 | T1071.004 | pfSense 日志 | 🟢 高 | | D-006 | 未授权的本地用户创建 | T1136.001 | Windows Security | 🟢 高 | → 完整逻辑、复现步骤、分析笔记：[`docs/DETECTIONS.md`](docs/DETECTIONS.md) ## 证据 **Kibana — 告警触发** ![Kibana 告警](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/42f3608a94003722.png) **端点 — 检测到 PowerShell 编码命令** ![PowerShell 检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/4c5ef68e75003724.png) **MITRE ATT&CK — 覆盖图** ![ATT&CK 图](https://static.pigsec.cn/wp-content/uploads/repos/2026/03/39c48a75d7003726.png) → 所有证据：[`evidence/`](evidence/) ## 仓库结构 ``` SOC-Detection-Lab/ ├── architecture/ ← Lab diagram ├── detection-engineering/ │ └── sigma/ │ ├── execution/ ← PowerShell, LOLBin rules │ ├── persistence/ ← Registry, scheduled tasks, service rules │ └── high-fidelity/ ← Validated low-noise rules ├── docs/ │ ├── INVENTORY.md ← Lab components and services │ ├── NETWORK.md ← Topology and trust boundaries │ ├── PIPELINE.md ← Log ingestion design │ ├── DETECTIONS.md ← Detection logic and rationale │ ├── ATTACK_MAPPING.md ← MITRE ATT&CK justification │ └── RUNBOOK.md ← Analyst playbooks ├── evidence/ │ ├── endpoint/ ← Sysmon + PowerShell screenshots │ ├── siem/ ← Kibana + Logstash screenshots │ ├── network/ ← pfSense DNS + firewall screenshots │ ├── ids/ ← Suricata eve.json + status │ └── mitre/ ← ATT&CK coverage map ├── incidents/ │ └── INC-001-phishing/ ← Full IR case: phishing delivery attempt ├── incident-response/ │ └── powershell-shortcut-attack/ ← IR case: PowerShell persistence ├── phishing-awareness-training/ ← SOC-validated awareness exercise ├── CHANGELOG.md └── LICENSE ``` ## 事件响应案例 **INC-001 — 钓鱼驱动恶意软件投递** 在负载执行前通过 Sysmon + Winlogbeat 检测到。使用基于 pfSense IOC 的防火墙别名进行遏制。 → [`incidents/INC-001-phishing/`](incidents/INC-001-phishing/) **IR-001 — PowerShell 快捷方式攻击** 通过快捷方式文件执行 PowerShell 并实现持久化，利用 Sysmon 遥测数据进行了端到端追踪。 → [`incident-response/powershell-shortcut-attack/`](incident-response/powershell-shortcut-attack/) ## 展示技能 `网络入侵检测` `端点遥测` `SIEM 日志分析` `检测工程` `Sigma 规则` `MITRE ATT&CK 映射` `事件响应` `威胁调查` `Python 自动化` ## 许可证 [MIT](LICENSE) — 为学习和作品集目的而构建。

标签：AMSI绕过, Cloudflare, Conpot, Elasticsearch, ELK Stack, LOLBins, Metaprompt, MITRE ATT&CK, OpenCanary, pfSense, PowerShell检测, Python自动化, Sigma规则, SOC实验室, Suricata, Sysmon, Windows安全, Winlogbeat, 威胁检测, 安全运营中心, 库, 应急响应, 现代安全运营, 目标导入, 端点遥测, 网络信息收集, 网络安全, 网络安全实验, 网络映射, 虚拟化环境, 越狱测试, 逆向工具, 防火墙, 隐私保护