aaronfelix00/Elastic_SIEM_SOC_Lab

## 🛡 Elastic SIEM SOC 实验环境 🔍 检测与响应 Linux SSH 入侵 📘 概述 本项目演示了一个使用 Elastic Stack (Elasticsearch, Kibana, Filebeat) 的完整安全运营中心 (SOC) 工作流程。 该实验室模拟了一次真实的网络入侵，攻击者通过 SSH 暴力破解攻击入侵 Linux 服务器，提升权限，转储凭据，建立持久化，并重新连接到系统。 随后，安全运营中心 (SOC) 使用 Elastic SIEM 检测、调查并响应此次攻击。 模拟攻击阶段： 🔎 侦察 🔑 SSH 暴力破解攻击 🔓 未授权登录 ⚡ 权限提升 🗝 凭据转储 🧬 通过后门账户实现持久化 🔁 后门再次入侵 🕵 SOC 调查 🚨 事件响应 🎯 目标 此 SOC 实验环境的主要目标是： ✔ 构建可运行的 SIEM 监控环境 ✔ 收集并分析 Linux 认证日志 ✔ 模拟真实的 SSH 入侵场景 ✔ 使用 Elastic Security 检测恶意行为 ✔ 使用 Kibana 仪表板调查警报 ✔ 执行事件响应和系统修复 🏗 实验架构 该环境由三个主要系统组成。 组件 角色 🐉 Kali Linux 攻击机 🐧 Ubuntu Server 目标主机 📊 Elastic Stack SIEM 平台 screenshots/01_Kali.png screenshots/01_Ubuntu.png screenshots/02_Elasticsearch_Kibana.png screenshots/02_Filebeat.png 🗺️ 架构图 攻击遥测数据通过 Elastic 监控管道传输。 ``` 🐉 Kali Attacker │ | SSH Brute Force / Intrusion ▼ 🐧 Ubuntu Server │ │ System logs (/var/log/auth.log) ▼ 📦 Filebeat │ Log forwarding ▼ 🔎 Elasticsearch │ Indexed security events ▼ 📊 Kibana SIEM (Elastic Security) │ Dashboards, alerts, investigation ▼ 🕵 SOC Analyst ``` ⚔ 攻击场景 攻击者瞄准 Ubuntu 服务器上暴露的 SSH 服务。 攻击流程 🔎 侦察 ↓ 🔑 SSH 暴力破解 ↓ 🔓 成功登录 ↓ ⚡ 权限提升 ↓ 🗝 凭据转储 ↓ 🧬 创建持久化 ↓ 🔁 后门登录 (再次入侵) ↓ 🚨 SOC 检测 ↓ 🕵 事件调查 ↓ 🧹 事件响应 (修复) 🧰 部署的工具 工具 用途 🐉 Kali Linux 攻击平台 💣 Hydra SSH 暴力破解 🔐 SSH 远程登录 📦 Filebeat 日志收集 🔎 Elasticsearch 日志存储 📊 Kibana 可视化 🛡 Elastic Security 威胁检测 📂 监控的日志来源 /var/log/auth.log │ ▼ SSH 认证事件 │ ▼ 权限提升日志 │ ▼ 用户账户变更 │ ▼ 凭据访问尝试 🚨 攻击执行 🔎 1. 侦察 攻击者首先扫描目标系统。 nmap -sV "Target IP" 工作流程 🐉 Kali 攻击者 │ ▼ 🔎 端口扫描 │ ▼ 检测到 SSH 服务 screenshots/05_Attacker_Recon_nmap_scan.png 🔑 2. SSH 暴力破解 攻击者尝试猜测密码。 hydra -L users.txt -P passwords.txt ssh://"Target IP" 工作流程 💣 Hydra 攻击 │ ▼ 多次登录失败 │ ▼ 📄 auth.log 条目 │ ▼ 🚨 SIEM 检测 screenshots/06_ssh_bruteforce_attack_execution_with_hydra.png screenshots/07_multiple_failed_ssh_authentication_attempts.png 🔓 3. 成功登录 最终发现了密码。 ssh "username"@"Target IP" 工作流程 登录失败 ↓ 找到正确密码 ↓ 认证成功 ↓ 未授权访问 screenshots/08_successful_ssh_authentication_event.png ⚡ 4. 权限提升 攻击者提升权限。 sudo -i 工作流程 用户 Shell │ ▼ ⚡ sudo 命令 │ ▼ 👑 Root 访问权限 日志中的指标： sudo session opened 这表明攻击者现在拥有完全的管理控制权。 screenshots/10_privilege_escalation_sudo_session.png 🗝️ 5. 凭据转储 攻击者访问密码哈希数据库。 cat /etc/shadow 工作流程 👑 Root 访问权限 │ ▼ 访问敏感文件 │ ▼ 提取密码哈希 MITRE ATTACK T1003 凭据转储 screenshots/12_linux_shadow_file_credential_dump.png 🧬 6. 创建持久化 攻击者创建一个后门用户。 useradd backdoor passwd backdoor 工作流程 Root 访问权限 │ ▼ 创建新用户 │ ▼ 后门账户 │ ▼ 持久化访问 screenshots/14_backdoor_account_creation_command.png 🔁 7. 后门再次入侵 攻击者稍后重新连接。 ssh backdoor@"Target IP" 工作流程 后门凭据 │ ▼ SSH 认证 │ ▼ 持久化访问 screenshots/16_backdoor_ssh_login_persistence_access.png 🛡 检测工程 SOC 针对多种攻击行为配置了检测规则。 screenshots/authentication_analysis.png 🚨 A. SSH 暴力破解检测 指标： event.outcome: "failure" 向量： 多次失败 │ ▼ 触发阈值 │ ▼ 🚨 生成警报 🔓 B. 成功登录检测 指标： event.outcome: "success" 向量： 成功登录 │ ▼ 调查用户活动 ⚡ C. 权限提升检测 指标： sudo usage 向量： 用户命令 │ ▼ ⚡ 调用 sudo │ ▼ Root 权限 🧬 D. 可疑用户创建 指标： useradd 向量： 创建新用户 │ ▼ 潜在持久化 🗝 E. 凭据访问检测 指标： /etc/shadow 向量： 敏感文件 │ ▼ 尝试转储凭据 screenshots/20_SIEM_attack_timeline_analysis.png 🕵️ SOC 调查工作流程 🚨 触发警报 │ ▼ 审查失败的登录 │ ▼ 识别成功登录 │ ▼ 调查权限提升 │ ▼ 检测凭据转储 │ ▼ 识别持久化 │ ▼ 控制攻击者 ⏱ 事件时间线 (摘录) 时间 事件 解读 20:35 SSH 认证失败 暴力破解尝试开始 20:48 sudo 提权 权限提升 21:03 后门账户 已建立持久化 21:07 使用后门尝试登录 测试持久化 21:08 确认 Systemd 会话 确认后门访问 screenshots/20_SIEM_attack_timeline_analysis.png 🚑 事件响应 终止攻击者会话： pkill -u backdoor 移除持久化： userdel -r backdoor 删除主目录： rm -rf /home/backdoor 验证移除： cat /etc/passwd | grep backdoor screenshots/22_backdoor_termination_removal_and_validation.png 🔒 加固措施 安全控制 │ ├── 🔐 SSH 加固 ├── 🛑 Fail2ban ├── 🧱 防火墙 ├── 🔑 密码策略 └── 📊 持续监控 建议改进： • 禁用 SSH 密码认证 • 启用 SSH 密钥认证 • 安装 Fail2ban • 启用防火墙 • 禁用 Root 登录 screenshots/23_fail2ban_status_verification.png screenshots/24_firewall_security_rules_enabled.png screenshots/25_confirmation_of_reentry_failed.png 🎯 MITRE ATT&CK 映射 战术 技术 发现 网络服务发现 凭据访问 暴力破解 初始访问 有效账户 权限提升 sudo 滥用 凭据访问 凭据转储 持久化 创建账户 持久化 账户操作 🧠 展示的技能 本项目展示了实用的 SOC 分析师技能，包括： • SIEM 工程 • Linux 日志分析 • 威胁检测 • 事件调查 • 事件响应 • MITRE ATT&CK 映射 获得的技能： ✔ Elastic SIEM 配置 ✔ Linux 日志分析 ✔ SSH 暴力破解检测 ✔ 持久化调查 ✔ 事件响应流程 ✔ 使用 MITRE ATT&CK 进行威胁映射 📚 经验教训 实验室的主要见解： * SSH 暴力破解攻击很容易通过集中式日志发现 * 凭据转储会产生强烈的检测信号 * 通过用户账户实现的持久化是可以检测到的 * SIEM 仪表板极大地加速了调查 🏁 结论 本项目演示了使用 Elastic SIEM 的完整 SOC 检测和响应工作流程。 它强调了以下方面的重要性： ✔ 集中式日志记录 ✔ 检测工程 ✔ 调查工作流程 ✔ 事件响应

标签：CSV导出, CTI, Elasticsearch, Elastic Stack, Filebeat, SSH暴力破解, TGT, 内存分配, 凭证转储, 安全实验室, 安全运营中心, 持久化攻击, 攻防演练, 流量重放, 特权升级, 网络安全, 网络映射, 蜜罐实验, 越狱测试, 隐私保护