omalecomfort58/SOC-Lab-Threat-Detection-in-a-Segmented-Healthcare-Network

# SOC-Lab-分段医疗网络中的威胁检测 项目概述 本项目在医疗机构的模拟真实安全运营中心 (SOC) 环境中进行。旨在设计安全的网络架构，利用 SIEM 解决方案检测网络威胁并响应安全事件。 该实验室侧重于提升在分段网络中的可见性、威胁检测及事件响应能力。 实验室架构 网络分段包括： WAN (Internet) LAN (Internal network) DMZ (Public-facing services) 使用 pfSense 实现防火墙 使用 Wazuh SIEM 进行集中监控 工具与技术 Wazuh (SIEM) pfSense (Firewall) Kali Linux (Attack simulation) Wireshark (Packet analysis) Nmap (Network scanning) Hydra (Brute-force attacks) VirtualBox (Lab environment) 方法论 使用 pfSense 设计并分段网络 部署 Wazuh 进行集中日志收集 使用 Kali Linux 模拟攻击： 暴力破解登录尝试 (Hydra) 网络扫描 (Nmap) 使用 Wireshark 捕获并分析流量 将日志与 SIEM 警报关联 实施自动化响应 (IP 封禁) 主要发现 检测到多次 SSH 登录失败尝试 (暴力破解攻击) 发现内部网络扫描活动 通过数据包捕获确认了可疑流量模式 观察到访问控制和密码策略存在薄弱环节 事件响应 Wazuh 针对可疑活动生成实时警报 自动化防火墙规则封锁了攻击者 IP 地址 攻击流量已成功缓解 成果 通过集中日志记录提升了网络可见性 加快了对模拟威胁的检测和响应速度 展示了真实世界的 SOC 工作流程 (监控 → 检测 → 响应) 建议 强制执行强密码策略 限制不必要的端口和服务 改进网络分段控制 实施持续监控并优化警报规则

标签：AMSI绕过, CTI, Hydra, IP封禁, Nmap, PE 加载器, pfSense, PoC, SSH安全, VirtualBox, Wazuh, Wireshark, 医疗安全, 句柄查看, 威胁检测, 安全运营中心, 实验室环境, 密码策略, 库, 应急响应, 插件系统, 数据统计, 日志关联, 暴力破解, 渗透测试模拟, 端口扫描, 网络分段, 网络安全, 网络映射, 虚拟化, 虚拟驱动器, 速率限制, 防火墙, 隐私保护