KamilKrzyszczak/soc-detection-lab

# 🔐 SOC 检测实验室 专注于使用 Windows 事件日志、Sysmon 和 SIEM 工具（Splunk）检测和分析真实世界攻击的实际操作型网络安全项目。 ## 🎯 目标 构建一个实际的 SOC 环境，并模拟真实世界攻击，以像安全运营中心（SOC）分析师一样进行检测、分析、调查和响应。 ## 🧱 实验环境 - Windows（带有 Sysmon 的受害机器） - Kali Linux（攻击者） - Sysmon（高级端点日志记录） - Splunk（用于日志分析和关联的 SIEM） - VirtualBox ## 💣 攻击场景 ### 1. 暴力破解攻击 - 来自 Kali Linux 的 RDP 登录尝试 - 多次失败的登录尝试（暴力破解模式） - 通过事件 ID 4625（登录失败）和事件 ID 4624（登录成功）进行检测 - 关联失败的登录与成功的登录 ### 2. 可疑的 PowerShell 活动 - 执行编码或混淆的 PowerShell 命令 - 通过脚本块记录（事件 ID 4104）进行检测 - 识别可疑关键字（例如：IEX、DownloadString、-enc、-nop） ### 3. 反向 Shell - 从受害机器到攻击者的出站连接 - 通过异常网络连接和进程行为进行检测 - 识别可疑的父子进程关系 ### 4. 恶意软件分析 - 检测可疑进程（例如：伪装） - 分析类似勒索软件的行为 - 提取妥协指标（IOCs），例如： - 可疑文件路径（例如：AppData） - 不寻常的进程名称 - 网络指标（IP / URL） ## 🧠 检测方法 - 日志分析（Windows 事件日志、Sysmon） - SIEM 关联（Splunk） - 行为检测（不仅基于签名） - 关联多个事件以识别攻击模式 - 识别可疑活动与异常 ## 📊 展示技能 - 日志分析与威胁检测 - 事件调查与分类 - 恶意软件分析基础 - SIEM 使用（Splunk） - 理解攻击者行为（TTPs） ## 🚀 状态 🛠️ 进行中 – 积极基于真实世界攻击技术构建、测试和改进检测场景。

标签：AMSI绕过, Cloudflare, DAST, DNS 反向解析, EDR, HTTP工具, IOC提取, IP 地址批量处理, MITRE ATT&CK, PowerShell滥用, RDP暴力破解, Sysmon, TGT, TTP, VirtualBox, Windows日志, 事件关联, 勒索软件, 反Shell检测, 威胁检测, 子域名变形, 安全运营中心, 异常检测, 恶意软件分析, 攻击模拟, 攻防演练, 日志可视化, 端点检测与响应, 红队行动, 网络威胁狩猎, 网络安全实践, 网络安全审计, 网络映射, 脆弱性评估, 脱壳工具, 虚拟化安全, 行为检测, 驱动签名利用