murpheelee/soc-cloud-engineering

GitHub: murpheelee/soc-cloud-engineering

一个面向云 SOC 的多 SIEM 检测工程与自动化响应实践项目,解决跨平台日志关联与高效响应的难题。

Stars: 0 | Forks: 0

Splunk SOAR QRadar Qualys Cloud

# SOC云工程 — 检测、自动化与响应 ## 目标 为云优先型组织设计并实施SOC工程工作流程,涵盖从检测到响应的完整管道:日志摄取、使用Splunk SPL和QRadar的检测工程、SOAR驱动的自动化响应、Qualys漏洞情报集成以及云原生安全监控。此项目展示了SOC云工程师角色所需的技术能力。 ## 架构

SOC Architecture Diagram

## 检测与响应管道

Detection Pipeline

## 日志来源与数据管道 | 日志来源 | 平台 | 摄取方法 | 每日事件数 | |----------|------|----------|------------| | AWS CloudTrail | AWS | S3 → Splunk HEC | ~50万 | | Azure 活动日志 | Azure | 事件中心 → Splunk 插件 | ~20万 | | VPC 流日志 | AWS | S3 → Splunk | ~200万 | | Azure NSG 流日志 | Azure | Blob 存储 → Splunk | ~150万 | | GuardDuty 发现 | AWS | CloudWatch → Lambda → HEC | ~1千 | | Defender for Cloud | Azure | 事件中心 → Splunk | ~5千 | | Qualys VMDR | 多云 | 定时 API 拉取(每小时) | ~1万 | | Okta SSO | SaaS | API → Splunk 插件 | ~5万 | | CrowdStrike EDR | 终端 | Falcon 数据复制器 → S3 | ~300万 | ## 项目结构 ``` soc-cloud-engineering/ ├── splunk-detections/ # Splunk SPL detection rules │ ├── cloud-detections.spl │ ├── identity-detections.spl │ └── endpoint-detections.spl ├── soar-playbooks/ # SOAR automation playbooks │ ├── playbook-phishing-triage.md │ ├── playbook-compromised-credential.md │ └── playbook-cloud-resource-exposure.md ├── cloud-monitoring/ # Cloud security monitoring │ └── aws-azure-monitoring.md ├── LICENSE ├── SECURITY.md └── README.md ``` ## Splunk SPL 检测规则 按攻击面组织的自定义检测规则。完整的 SPL 查询可在 [splunk-detections/](splunk-detections/) 目录中获取。 ### 云安全检测 | # | 检测 | MITRE ATT&CK | 严重性 | SPL 文件 | |---|------|-------------|--------|----------| | 1 | AWS 根账户使用 | T1078.004 | 严重 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | | 2 | S3 存储桶被设为公开 | T1530 | 严重 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | | 3 | 安全组允许 0.0.0.0/0 | T1562.007 | 高 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | | 4 | Azure AD 条件访问策略被禁用 | T1556 | 高 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | | 5 | CloudTrail 日志被禁用 | T1562.008 | 严重 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | | 6 | 未授权区域活动 | T1535 | 中 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | | 7 | IAM 策略允许完全管理员权限 | T1098.001 | 高 | [cloud-detections.spl](splunk-detections/cloud-detections.spl) | ### 身份与访问检测 | # | 检测 | MITRE ATT&CK | 严重性 | SPL 文件 | |---|------|-------------|--------|----------| | 1 | 不可能的位置登录 | T1078 | 高 | [identity-detections.spl](splunk-detections/identity-detections.spl) | | 2 | 用户禁用 MFA | T1556.006 | 高 | [identity-detections.spl](splunk-detections/identity-detections.spl) | | 3 | 针对云 SSO 的暴力破解 | T1110.001 | 高 | [identity-detections.spl](splunk-detections/identity-detections.spl) | | 4 | 服务账户异常登录 | T1078.004 | 中 | [identity-detections.spl](splunk-detections/identity-detections.spl) | | 5 | 在 PIM 外分配特权角色 | T1098 | 高 | [identity-detections.spl](splunk-detections/identity-detections.spl) | ### 端点检测 | # | 检测 | MITRE ATT&CK | 严重性 | SPL 文件 | |---|------|-------------|--------|----------| | 1 | 执行编码后的 PowerShell | T1059.001 | 高 | [endpoint-detections.spl](splunk-detections/endpoint-detections.spl) | | 2 | LSASS 内存访问 | T1003.001 | 严重 | [endpoint-detections.spl](splunk-detections/endpoint-detections.spl) | | 3 | 可疑的计划任务创建 | T1053.005 | 中 | [endpoint-detections.spl](splunk-detections/endpoint-detections.spl) | | 4 | 通过 WMI 的横向移动 | T1047 | 高 | [endpoint-detections.spl](splunk-detections/endpoint-detections.spl) | ## SOAR 剧本

SOAR Playbook Workflows

为 Splunk SOAR(Phantom)设计的自动化事件响应剧本。每个剧本包含触发条件、丰富步骤、遏制操作和通知流程。 | 剧本 | 触发条件 | 自动化程度 | 文件 | |------|----------|------------|------| | 钓鱼邮件分类 | 用户或网关告警报告 | 完全自动分类,需分析师确认隔离 | [playbook-phishing-triage.md](soar-playbooks/playbook-phishing-triage.md) | | 凭据泄露响应 | 不可能的位置登录或暴力破解成功 | 半自动(自动禁用,分析师确认) | [playbook-compromised-credential.md](soar-playbooks/playbook-compromised-credential.md) | | 云资源公开暴露 | S3/Blob 公开访问或开放安全组 | 完全自动修复并通知 | [playbook-cloud-resource-exposure.md](soar-playbooks/playbook-cloud-resource-exposure.md) | ## Qualys VMDR 集成 ### 漏洞情报管道 ``` Qualys VMDR API → Splunk (TA-QualysCloud) → Enrichment Lookups → Correlation with Threat Intel ``` | 集成点 | 方法 | 目的 | |--------|------|------| | 资产清单同步 | Qualys API → CSV 查询 | 将 IP 映射到资产所有者、关键性与环境 | | 漏洞情报 | Qualys API → Splunk 索引 | 将漏洞与活跃威胁检测关联 | | 补丁合规性 | Qualys 策略合规 → 仪表板 | 跟踪修复 SLA 合规性 | | 零日告警 | Qualys 实时情报 → SOAR 触发器 | 自动升级匹配资产的新型漏洞 | ### Qualys 增强的 Splunk 查询 ``` | Enrich detections with Qualys vulnerability data for the affected host index=qualys_vmdr | dedup ip | eval severity_score=case( severity=="5", "Critical", severity=="4", "High", severity=="3", "Medium", severity=="2", "Low", 1==1, "Info") | join type=left ip [ | inputlookup asset_inventory.csv | fields ip, asset_owner, business_unit, environment, criticality ] | where severity_score IN ("Critical", "High") | where criticality="production" | stats count by ip, asset_owner, severity_score, title, cve_id, solution | sort -count ``` ## QRadar 交叉参考 ### SPL 到 AQL 翻译指南 对于同时使用 Splunk 与 QRadar 的 SOC 团队,关键检测转换如下: | 场景 | Splunk SPL | QRadar AQL | |------|-----------|------------| | 失败登录(最近 1 小时) | `index=auth action=failure \| stats count by src_ip \| where count>10` | `SELECT sourceip, COUNT(*) FROM events WHERE category='Authentication' AND outcome='Failure' GROUP BY sourceip HAVING COUNT(*)>10 LAST 1 HOURS` | | CloudTrail 根登录 | `index=aws_cloudtrail userIdentity.type=Root eventName=ConsoleLogin` | `SELECT * FROM events WHERE logsourceid= AND username='root' AND eventname='ConsoleLogin'` | | 新建管理员用户 | `index=azure_ad operationName="Add member to role" targetResources{}.modifiedProperties{}.newValue="*Admin*"` | `SELECT * FROM events WHERE logsourceid= AND eventname='Add member to role' AND message ILIKE '%admin%'` | ## 云监控仪表板指标 ### 跟踪的 SOC KPI | 指标 | 目标 | 当前 | 趋势 | |------|------|------|------| | 平均检测时间 (MTTD) | < 15 分钟 | 11 分钟 | 改善中 | | 平均响应时间 (MTTR) | < 30 分钟 | 24 分钟 | 改善中 | | 告警到事件比率 | < 20:1 | 15:1 | 达标 | | 误报率 | < 15% | 12% | 达标 | | SOAR 自动化率 | > 60% |68% | 超出目标 | | 关键漏洞 SLA 合规性 | > 95% | 92% | 需改进 | | 云资产覆盖率 | 100% | 97% | 达标 | ## 展示的关键技能 - Splunk SPL 查询编写用于检测工程 - SOAR 剧本设计与自动化流程(Splunk SOAR/Phantom) - QRadar AQL 基础及跨 SIEM 翻译 - Qualys VMDR 集成与漏洞关联 - 云日志摄取(AWS CloudTrail、Azure 活动日志、VPC 流日志) - MITRE ATT&CK 映射用于云特定技术 - SOC 指标与 KPI 驱动运营 - 多云安全监控(AWS + Azure)
标签:AMSI绕过, AWS, Azure, Cloud SOC, CloudWatch, CrowdStrike, Defender for Cloud, DPI, EDR, Event Hub, FTP漏洞扫描, GPT, GuardDuty, HEC, Lambda, Okta SSO, QRadar, QRadar AQL, Qualys, Qualys VMDR, SOAR, Splunk SPL, VPC 流日志, 云工程, 云监控, 取证, 威胁检测, 安全编排, 安全运营, 扫描框架, 数据管道, 日志源, 日志采集, 检测与响应, 漏洞利用检测, 漏洞管理, 脆弱性评估, 自动化响应, 软件工程, 逆向工具, 集成