josephasante/soc-lab-threat-detection

# SOC 实验室 – 威胁检测与网络监控 ## 概述 本项目展示了以通过流量分析、IDS/IPS 监控和威胁搜寻来检测恶意活动为重点的实践 SOC 实验室工作。 该实验在受控环境中模拟真实攻击，并使用 Security Onion、Zeek、Suricata、NetworkMiner 和 Wireshark 记录检测过程。 ## 实验环境 - Security Onion (SIEM / IDS / IPS) - Kali Linux (攻击者) - Metasploitable 2 (受害者) ## 模拟攻击场景 - 反向 Shell 利用 - HTTP 数据渗出 - DNS 隧道 ## 攻击摘要 ### 1. 侦察 - 执行网络扫描以识别开放端口和易受攻击的服务。 ### 2. 利用 - 使用 Metasploit 利用目标机器上的易受攻击的服务。 ### 3. 命令与控制 - 通过到攻击者控制主机的出站连接，观察到反向 Shell 活动。 ### 4. 数据渗出 - 模拟通过 HTTP 的文件传输以及可疑的 DNS 流量，以代表渗出技术。 ## 检测与分析 - 通过分析异常的出站连接和长寿命会话，识别出反向 Shell 行为。 - 通过 Zeek 日志和查询模式检测到可疑的 DNS 活动。 - 在 Wireshark 中审查 PCAP 文件以确认攻击行为。 - 创建自定义 Suricata 规则以辅助检测。 ## 受损指标 (IOCs) - 攻击者 IP: 192.168.1.132 - 受害者 IP: 192.168.1.135 - 可疑端口: 3632, 4444, 8080 ## 项目产出 - [PCAP 文件](pcaps/) - [检测规则](detection-rules/suricata.rules) - [事件报告](reports/soc-incident-report.pdf) - [截图](screenshots/) - [威胁搜寻手册](playbooks/threat-hunting-playbook.md) ## 展示的技能 - 威胁搜寻 - 网络流量分析 - IDS/IPS 监控 - 日志关联 - 事件响应 - PCAP 分析 - 检测规则编写 ## 使用的工具 - Security Onion - Zeek - Suricata - Wireshark - NetworkMiner - Kali Linux - Metasploit - Nmap ## 作者 Joseph Asante

标签：AMSI绕过, Beacon Object File, CISA项目, DNS隧道, HTTP工具, IDS/IPS, IOC, IP 地址批量处理, Metaprompt, Metasploitable, NetworkMiner, PCAP分析, Rootkit, Security Onion, Suricata, Wireshark, Zeek, 反向Shell, 句柄查看, 失陷指标, 威胁检测, 安全运营中心, 实战演练, 密码管理, 库, 应急响应, 数据渗出, 数据统计, 日志关联, 现代安全运营, 端口扫描, 网络安全实验, 网络映射, 规则编写