Syedwafeeq/SOC-LAB

# 安全运营中心 (SOC)

     

安全运营中心 (SOC) 是负责实时监控、检测、分析和响应网络安全威胁的集中化单元。

# 目录 * [什么是 SOC](#-what-is-soc) * [SOC-Operations 项目](#-soc-operations-project) * [项目架构流程图](#-project-architecture-flowchart) * [攻击模拟](#-attack-simulations) * [事件响应工作流](#-incident-response-workflow) * [SOC 目标](#-soc-objectives) * [SOC 团队结构](#-soc-team-structure) * [SOC 架构](#-soc-architecture) * [SOC 工具](#-soc-tools) * [事件响应生命周期](#-incident-response-lifecycle) * [SOC 工作流](#-soc-workflow) * [SOC 指标](#-soc-metrics) # 什么是 SOC **安全运营中心 (SOC)** 是一个专门的团队，持续监控组织的**网络、服务器、终端和应用程序**，以检测和响应网络威胁。 SOC 团队 **全天候 24/7** 运行，保护组织免受以下威胁： * 恶意软件攻击 * 勒索软件 * 内部威胁 * 未授权访问 * 数据泄露 SOC 充当**网络安全运营的核心指挥中心**。 # SOC-Operations 项目 本仓库记录了 **SOC-Operations** 实战实验室 — 一个完整配置的安全运营中心环境，专为真实世界的威胁检测、日志关联和事件响应模拟而构建。 ## 基础设施技术栈 | 组件 | 工具 | 角色 | |-----------|------|------| | **SIEM** | Wazuh | 集中日志收集、关联、告警 | | **搜索与存储** | Elasticsearch | 日志索引和快速查询 | | **后端存储** | Cassandra | 可扩展的分布式数据存储 | | **IDS/IPS** | Suricata | 网络入侵检测与防御 | | **案例管理** | TheHive | 事件分类、案例跟踪、IR 工作流 | | **终端代理** | Wazuh Agent | 安装在 Windows 和 Linux 终端上 | | **增强日志** | Sysmon | 深度 Windows 进程/事件可见性 | ## 终端 ### Windows 终端 - Wazuh Agent + **Sysmon** 已配置 - 收集的日志：FIM、系统、认证、Sysmon ### Linux 终端 - Wazuh Agent 已配置 - 收集的日志：FIM、系统、认证 # 项目架构流程图 ``` flowchart TD subgraph ATTACKER["Attacker Machine (Same Network)"] A1[Kali / Attack Linux VM] end subgraph ENDPOINTS["Endpoints"] subgraph WIN["Windows Endpoint"] W1[Wazuh Agent] W2[Sysmon] W3["Logs: FIM · System · Auth · Sysmon"] end subgraph LIN["Linux Endpoint"] L1[Wazuh Agent] L2["Logs: FIM · System · Auth"] end end subgraph NETWORK["Network Layer"] S1[Suricata IDS/IPS] end subgraph SIEM["Wazuh SIEM"] WZ1[Log Collection & Normalization] WZ2[Alert Engine & Correlation] WZ3[File Integrity Monitoring] WZ4[Authentication Monitoring] ES1[(Elasticsearch\nLog Indexing)] CS1[(Cassandra\nBackend Storage)] end subgraph CASEMGMT["Case Management"] TH1[TheHive] TH2[Alert Triage] TH3[Case Creation] TH4[Investigation & Documentation] end subgraph ATTACKS["Attack Simulations"] ATK1["SSH Brute Force\n→ Linux Endpoint"] ATK2["RDP Brute Force\n→ Windows Endpoint"] ATK3["PowerShell: Create User\n+ Add to Admins Group"] ATK4["Data Exfiltration\n→ Windows Endpoint"] end A1 --> ATK1 A1 --> ATK2 A1 --> ATK3 A1 --> ATK4 ATK1 --> LIN ATK2 --> WIN ATK3 --> WIN ATK4 --> WIN WIN --> S1 LIN --> S1 WIN --> WZ1 LIN --> WZ1 S1 --> WZ1 WZ1 --> WZ2 WZ2 --> WZ3 WZ2 --> WZ4 WZ1 --> ES1 ES1 --> CS1 WZ2 -->|"Alerts Generated"| TH1 TH1 --> TH2 TH2 --> TH3 TH3 --> TH4 ``` # 攻击模拟 所有攻击均从同一网络上的独立攻击机发起，以验证检测覆盖率。 ## Linux 终端 — SSH 暴力破解 ``` Attacker Machine │ ▼ SSH Brute Force (multiple failed attempts) │ ├──▶ Auth logs generated on Linux Endpoint ├──▶ Wazuh agent forwards logs to SIEM ├──▶ Suricata detects anomalous SSH traffic └──▶ Wazuh alert fired → TheHive case created ``` ## Windows 终端 — RDP 暴力破解 ``` Attacker Machine │ ▼ RDP Brute Force (multiple failed attempts) │ ├──▶ Windows Auth logs + Sysmon events generated ├──▶ Suricata detects RDP flood pattern ├──▶ Wazuh SIEM correlates and fires alert └──▶ TheHive case created and triaged ``` ## Windows 终端 — PowerShell：用户创建与权限提升 ``` Attacker Machine (post-access) │ ▼ PowerShell: New-LocalUser + Add-LocalGroupMember -Group "Administrators" │ ├──▶ Sysmon logs: Process creation, PowerShell activity ├──▶ Windows Event Logs: User creation, group modification ├──▶ Wazuh detects privilege escalation pattern └──▶ Alert sent → TheHive case created ``` ## Windows 终端 — 数据外泄 ``` Attacker Machine │ ▼ Sensitive file movement / transfer simulated │ ├──▶ FIM detects file access/movement ├──▶ Suricata flags suspicious outbound traffic ├──▶ Wazuh correlates endpoint + network alerts └──▶ Exfiltration alert fired → TheHive case triaged ``` # 事件响应工作流 ``` 1. Attack executed from attacker machine │ ▼ 2. Endpoint logs generated (Auth / FIM / Sysmon / System) │ ▼ 3. Suricata detects suspicious network traffic │ ▼ 4. Wazuh Agent forwards endpoint logs to SIEM │ ▼ 5. Elasticsearch indexes all incoming logs │ ▼ 6. Wazuh correlates events → Alert generated │ ▼ 7. SOC Analyst reviews alert in Wazuh Dashboard │ ▼ 8. Alert pushed to TheHive │ ▼ 9. Case created and triaged in TheHive │ ▼ 10. Investigation performed → Incident documented ``` # SOC 目标 ✔ 持续安全监控 ✔ 快速威胁检测 ✔ 事件调查 ✔ 事件响应与遏制 ✔ 威胁情报集成 ✔ 安全事件关联 ✔ 合规监控 # SOC 团队结构 ## 一级 — SOC 分析师 (L1) 职责： * 监控 SIEM 告警 * 执行初步分类 * 识别误报 * 上报事件 重点：**告警监控** ## 二级 — SOC 分析师 (L2) 职责： * 调查安全事件 * 执行日志关联 * 进行恶意软件分析 * 验证安全告警 重点：**事件调查** ## 三级 — SOC 分析师 (L3) 职责： * 高级威胁狩猎 * 根本原因分析 * 攻击模式检测 * 安全工具优化 重点：**高级威胁检测** ## 威胁猎手 主动搜索隐藏威胁，使用： * 行为分析 * 威胁情报 * MITRE ATT&CK 技术 ## 事件响应人员 负责： * 遏制 * 系统恢复 * 数字取证 * 攻击缓解 # SOC 架构 ``` ┌──────────────────┐ │ Endpoints │ │ Servers / Cloud │ └─────────┬────────┘ │ ▼ ┌─────────────────┐ │ Log Sources │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ SIEM │ │ Log Aggregation │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ Alert Engine │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │ SOC Analysts │ └────────┬────────┘ │ ▼ ┌─────────────────┐ │Incident Response│ └─────────────────┘ ``` # SOC 工具 ## SIEM（安全信息与事件管理） 用于日志聚合和事件关联。 示例： * Splunk * IBM QRadar * Microsoft Sentinel * Elastic SIEM ## EDR（终端检测与响应） 监控终端活动。 示例： * CrowdStrike * SentinelOne * Microsoft Defender ## SOAR（安全编排自动化响应） 自动化安全工作流。 示例： * Cortex XSOAR * Splunk SOAR ## 威胁情报平台 用于识别恶意指标。 示例： * MISP * Recorded Future * ThreatConnect # 事件响应生命周期 ``` Detection ↓ Investigation ↓ Containment ↓ Eradication ↓ Recovery ↓ Lessons Learned ``` # SOC 工作流 ``` Logs & Telemetry │ ▼ SIEM │ ▼ Alert Generation │ ▼ L1 Alert Triage │ ▼ L2 Investigation │ ▼ Incident Response │ ▼ System Recovery ``` # SOC 指标 SOC 绩效通过以下指标衡量： | 指标 | 描述 | | ----------------------- | ------------------------------ | | **MTTD** | 威胁平均检测时间 | | **MTTR** | 平均响应时间 | | **误报率** | 错误告警的百分比 | | **事件量** | 安全事件数量 | | **遏制时间** | 隔离威胁所需时间 | # SOC 最佳实践 ✔ **全天候 24/7** 监控系统 ✔ 自动化重复性任务 ✔ 定期更新检测规则 ✔ 集成威胁情报 ✔ 开展事件响应模拟演练 # 结论 **安全运营中心 (SOC)** 是现代网络安全防御的支柱。 它提供**持续监控、快速威胁检测和协调一致的事件响应**，保护组织基础设施免受网络威胁。

💙 如果觉得有帮助，请考虑 ⭐ 收藏本仓库。

标签：AI合规, AMSI绕过, CIDR查询, IDS/IPS, Linux日志, Metaprompt, PE 加载器, RDP暴力破解, SOC团队结构, SOC工作流, SOC度量, SOC指标, SOC目标, SSH暴力破解, Suricata, TGT, TheHive, Wazuh, Web报告查看器, Windows日志, x64dbg, 协议分析, 威胁检测, 安全实验室, 安全架构, 安全运营中心, 应急响应流程, 攻防演练, 权限提升, 现代安全运营, 网络安全, 网络映射, 自动化案例管理, 隐私保护