## 📖 项目概要 **AegisX** 是一个从头构建的生产级**安全运营中心 (SOC)** 实验室[cite: 7]。该项目模拟了真实的企业环境，具有由 **pfSense** 管理的完全分段式 4 区域网络，通过 **Wazuh SIEM** 进行集中日志记录，并使用 **TheHive** 和 **Cortex** 构建自动化事件响应流程[cite: 8, 12]。 ### 主要成就 🚀 * **多区域防御：** 管理 4 个不同的安全区域（WAN、LAN、DMZ、SOC）[cite: 17, 31]。 * **自动化 IR 流程：** 将 Level 7+ 威胁从 Wazuh 实时转发至 TheHive [cite: 61, 62]。 * **威胁增强：** 集成 **260 个 Cortex analyzers** 用于自动化样本分析[cite: 12, 84]。 * **检测验证：** 成功检测并分类 4+ 次实战攻击模拟[cite: 12, 96]。 ## 🛠️ 核心三巨头：SIEM 与事件响应 这些是驱动 AegisX 防御能力的核心技术：

Wazuh SIEM Central Log Aggregation & HIDS [cite: 37, 51]

TheHive 5 Case Management & Triage [cite: 41, 75]

Cortex 3 Automated Analysis & Enrichment [cite: 42, 83]

--- ## 🌐 网络架构 该实验室遵循严格的**纵深防御 (Defense-in-Depth)** 原则，对标企业标准[cite: 29]。 | Zone | Network Range | Role | | :--- | :--- | :--- | | **WAN** | `192.168.1.x` | 互联网网关 [cite: 31] | | **LAN** | `192.168.2.x` | 企业 Active Directory (AegisX.local) [cite: 31, 39] | | **DMZ** | `203.50.40.x` | 易受攻击的目标与攻击机 [cite: 31, 33] | | **SOC** | `192.168.20.x` | 安全监控与响应工具 [cite: 31, 33] | ## ⚡ 自动化工作流演示 ### 1. 检测 (Wazuh) *Wazuh 捕获到 Level 10 级别的 SSH 暴力破解尝试 (规则 5712) [cite: 101, 102]。* ### 2. 分类与增强 (TheHive + Cortex) *告警自动升级为 Case #1。Cortex 针对攻击者 IP 触发 AbuseIPDB 和 VirusTotal 分析器[cite: 77, 80, 103]。* ## 🧪 攻击模拟覆盖范围 针对以下场景验证了检测能力[cite: 96, 97]： | Attack | Tool | Detection Source | | :--- | :--- | :--- | | **SSH 暴力破解** | Hydra | Wazuh 规则 5712 [cite: 98, 101] | | **网络扫描** | Nmap | Suricata ET SCAN 规则 [cite: 104, 107] | | **后门利用** | Metasploit | Wazuh FIM & Suricata [cite: 108, 111] | | **Web 应用扫描** | Nikto/Dirb | Suricata HTTP 异常 [cite: 112, 115] | ## 🚀 路线图：第三阶段 - [ ] **MISP 集成：** 自动化 IOC 关联[cite: 127, 128]。 - [ ] **高级 AD 测试：** 检测 Pass-the-Hash 和 Kerberoasting [cite: 137]。 - [ ] **GeoIP 可视化：** 实时攻击映射[cite: 929]。

标签：AMSI绕过, CIDR查询, Cortex, DMZ, HIDS, HTTP/HTTPS抓包, HTTP工具, IP 地址批量处理, Metaprompt, pfSense, Terraform 安全, TheHive, Wazuh, 主机入侵检测, 企业级安全, 参数枚举, 威胁情报, 威胁检测, 安全运营中心, 开发者工具, 态势感知, 攻击模拟, 日志聚合, 网络分段, 网络安全, 网络安全审计, 网络映射, 网络架构, 自动化响应, 虚拟化环境, 防御验证, 隐私保护, 驱动签名利用