NiteshVishwakarma219/Incident-Response-Simulation-Lab

# 🚨 SOC事件响应与威胁检测工程实验室 ## 👨‍💻 作者 Nitesh Vishwakarma SOC分析师 | 云安全爱好者 # 📌 1. 项目摘要 本项目模拟了一个**真实的网络安全运营中心（SOC）环境**，旨在复刻企业级的攻击检测、调查和事件响应工作流程。 该环境包含端点日志记录、SIEM（安全信息与事件管理）摄取、攻击模拟、检测工程以及结构化的响应报告。 主要目标是展示**动手实践的SOC分析师能力**，包括： - 安全事件监控 - 使用SIEM进行威胁检测 - 日志分析与关联 - 事件调查与响应 - 符合SOC标准的安全报告 # 🎯 2. 目标 本项目旨在实现以下SOC能力： ### 🔹 检测工程 - 构建针对暴力破解和可疑执行模式的检测逻辑 - 使用Windows事件日志和Sysmon遥测数据识别恶意行为 ### 🔹 SIEM操作 - 将日志导入Splunk企业版 - 使用SPL（搜索处理语言）查询和分析安全事件 ### 🔹 事件响应 - 对检测到的威胁进行结构化调查 - 实施遏制和缓解措施 - 记录完整的事件生命周期 ### 🔹 SOC报告 - 创建包含时间线和IOC的专业事件报告 - 提供根本原因和影响分析 # 🧰 3. 实验室架构 ## 📌 端点层 - Windows 10/11 主机 - Sysmon（高级系统日志） ## 📌 日志层 - Windows事件查看器（安全日志 + 系统日志） - Sysmon事件日志（进程 + 网络遥测） ## 📌 SIEM层 - Splunk 企业版 - 通过Windows事件转发进行日志摄取 # ⚔️ 4. 攻击模拟场景 本实验室包含可控的攻击模拟，旨在生成可检测的安全遥测数据。 ## 🔴 4.1 暴力破解登录模拟 ### 描述： 模拟重复的失败身份验证尝试，以生成身份验证失败日志。 ### 生成的日志： - 事件ID 4625 → 登录失败 - 事件ID 4624 → 登录成功（如有） ### SOC相关性： 用于检测： - 密码喷洒攻击 - 凭据填充行为 - 未经授权的访问尝试 ## 🔴 4.2 基于PowerShell的攻击模拟 ### 描述： 模拟可疑的PowerShell执行，包括编码命令模式。 ### 示例行为： - 执行编码后的PowerShell命令 - 模拟命令行滥用 ### 生成的日志： - PowerShell脚本块日志 - Sysmon事件ID 1（进程创建） ### SOC相关性： 用于检测： - 无文件恶意软件行为 - 混淆命令执行 - 生活在土地攻击（LOLBins） ## 🔴 4.3 可疑进程执行 ### 描述： 模拟异常进程执行模式，类似于恶意软件活动。 ### 生成的日志： - Sysmon事件ID 1 → 进程创建事件 - 命令行跟踪日志 ### SOC相关性： 用于检测： - 未经授权的二进制执行 - 进程注入行为模式 - 权限提升尝试 # 🔍 5. 检测工程（SPL查询） ## 📌 5.1 失败登录检测 ``` index=wineventlog EventCode=4625 | stats count by Account_Name, Source_Network_Address, _time | sort - count Purpose: Detect brute force and repeated authentication failures. 📌 5.2 PowerShell Activity Detection index=wineventlog "powershell" | stats count by User, CommandLine, _time | sort - count Purpose: Identify suspicious or encoded PowerShell execution. 📌 5.3 Suspicious Process Creation Monitoring index=sysmon EventCode=1 | table _time, Image, CommandLine, ParentImage, User | sort - _time Purpose: Track process lineage and detect abnormal execution chains. 📊 6. SECURITY MONITORING DASHBOARD A SOC-style dashboard was created in Splunk including: 🔹 Authentication Monitoring Failed login trends Source IP analysis User-based login attempts 🔹 Process Monitoring Suspicious process execution Parent-child process mapping 🔹 PowerShell Monitoring Encoded command detection Script execution frequency 🔹 Threat Correlation Multi-event correlation for incident detection 🧠 7. INCIDENT RESPONSE METHODOLOGY This project follows the NIST Incident Response Lifecycle: 1. Preparation Sysmon configured for detailed telemetry Splunk configured for log ingestion 2. Detection & Analysis SIEM alerts triggered using SPL queries Logs analyzed for anomalies and patterns 3. Containment Suspicious activity isolated logically Affected processes identified and terminated 4. Eradication Malicious activity simulated process removed Attack artifacts identified and documented 5. Recovery System restored to normal state Monitoring continued for recurrence 6. Lessons Learned Detection gaps analyzed Improved SPL queries documented 📸 8. EVIDENCE & ARTIFACTS This repository contains: 📁 /screenshots → Splunk dashboards & alerts 📁 /detections → SPL queries 📁 /logs-samples → Generated log datasets 📁 /attack-simulation → Attack scenario documentation 📁 /reports → Incident response report 📄 9. INCIDENT REPORT SUMMARY A structured SOC incident report was created including: Incident timeline reconstruction Indicators of Compromise (IOCs) Root cause analysis Detection logic explanation Response actions taken Final mitigation summary 🧩 10. SKILLS DEMONSTRATED 🔹 Security Operations SOC monitoring and alert handling Log analysis and correlation 🔹 SIEM Engineering Splunk SPL query development Dashboard creation 🔹 Threat Detection Behavioral analysis of attacks Detection rule creation 🔹 Incident Response NIST-based IR lifecycle execution Threat containment and reporting 🚀 11. BUSINESS IMPACT This project demonstrates real-world capability to: Detect cyber attacks in enterprise environments Operate SIEM platforms effectively Perform SOC analyst duties independently Document security incidents professionally Support enterprise security operations 📌 12. FINAL OUTCOME This project replicates a real SOC environment workflow, demonstrating readiness for: ✔ SOC Analyst Internship ✔ Junior SOC Analyst Role ✔ Security Operations Center Trainee ✔ Cyber Security Analyst Entry-Level Role Author NITESH VISHWAKARMA ```

标签：AI合规, AMSI绕过, IOC, PoC, Sysmon, Windows事件日志, 事件调查, 企业安全, 威胁检测, 安全报告, 安全运营, 扫描框架, 攻击模拟, 日志关联, 日志采集, 暴力破解, 端点安全, 管理员页面发现, 网络资产管理, 补丁管理, 速率限制, 驱动签名利用