franamaro-dev/SOC-L1-Level-Demo

# 🛡️ SOC 实验室：L1 检测与响应 ### 事件模拟与自动化环境 (SOAR-Ready) 本项目作为 **L1 分析师** 能力的技术演示，侧重于主动威胁检测和响应编排。 ## 🎯 实验室场景 系统部署了一个 **Honeypot**（欺骗传感器），暴露了一个易受攻击的 Web 服务。与此传感器的任何交互都会被实时规则引擎记录和分析。 ## 🏗️ 技术组件 1. **Honeypot 传感器 (`honeypot.py`)**: - 监听 8080 端口的 Python 服务。 - **Signatures Engine**：用于检测 SQLi、XSS、Path Traversal 和命令注入的正则表达式引擎。 - **Syslog-Format Logging**：生成结构化日志，随时可被 SIEM (Wazuh/Elastic) 摄取。 2. **L1 告警逻辑**: - 基于攻击类型的严重性分类。 - 行为模式检测（例如：目录侦察）。 3. **自动化响应 (n8n 提案)**: - 请参阅下方概念图，了解其如何与 **Incident Response** 流程集成。 ## 📊 L1 分诊方法论 针对此脚本生成的告警，本仓库中记录的工作流程为： 1. **验证**：是否为误报？（例如：内部的漏洞扫描器）。 2. **丰富化**：通过外部 API (VirusTotal/AbuseIPDB) 获取攻击者 IP 的 Whois/信誉信息。 3. **遏制**：如果 IP 为恶意且严重性为 HIGH，则执行自动阻断。 4. **L2 升级**：如果检测到持久化或高级技术（C2 beaconing），则将生成的报告升级给 L2 团队。 ## ⚙️ 如何运行实验室 1. **启动传感器**： python app/honeypot.py 2. **模拟攻击（SQL 注入）**： curl "http://localhost:8080/search?id=' union select null,null--" 3. **模拟攻击（读取系统文件）**： curl "http://localhost:8080/../../etc/passwd" 4. **审查取证日志**： 查看 `data/soc_alerts.log` 以获取专业格式的跟踪记录。 ## 🔗 n8n 自动化（概念图） ``` graph TD A[Honeypot Alert] -->|File Watcher| B[n8n Webhook/Read] B --> C{Severidad > Media?} C -->|No| D[Log en Dashboard] C -->|Si| E[Enriquecer IP] E --> F{Reputación Maliciosa?} F -->|Si| G[Bloquear en Firewall/Cloud] F -->|Si| H[Notificar Slack #Security-IR] F -->|No| I[Escalar para Análisis Manual] ``` ## 🏷️ 应用的 L1 概念 - **IOCs**：在 payloads 中检测到的威胁指标。 - **分诊**：按严重性对事件进行快速分类。 - **SOAR**：事件响应自动化（使用 n8n 模拟）。

标签：AbuseIPDB, AMSI绕过, API集成, Ask搜索, CISA项目, FTP漏洞扫描, Honeypot, IP信誉, L1分析师, L2升级, n8n, Python, SOAR, SOC实验室, Syslog, VirusTotal, Wazuh, XSS, 事件分类, 可观测性, 命令注入, 威胁情报, 威胁检测, 安全实验室, 安全编排, 安全脚本, 安全运营中心, 实时处理, 开发者工具, 攻击模拟, 无后门, 漏洞情报, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 自动化响应, 蜜罐, 证书利用, 误报验证, 跨站脚本攻击, 路径遍历, 逆向工具, 隐私保护, 驱动签名利用