yashkasbe77/SOC-Home-Lab

# SOC告警监控与日志关联实验室 ## 📌 项目概述 本项目是一个全面的安全运营中心（SOC）家庭实验室，旨在模拟定向攻击生命周期并展示SIEM如何实时检测这些威胁。实验室专注于弥合原始端点遥测与可操作威胁情报之间的差距。 ## 🏗️ 实验室架构 * **攻击者机器（硬件）：** 运行Kali Linux的专用笔记本电脑，使用`crackmapexec`模拟外部威胁行为者的行为。 * **SIEM基础设施（虚拟）：** 运行VMware的桌面主机，托管Ubuntu服务器（Wazuh Manager & Wazuh Indexer）。 * **目标端点（硬件/主机）：** 配置了高级安全审计、Sysmon和Wazuh代理的Windows桌面主机，用于转发实时遥测数据。 ## 🔍 调查流程与杀伤链映射 ### 阶段1：初始访问（T1110） * **攻击：** 针对端点SMB服务的字典暴力破解攻击。 * **检测：** 关联了连续发生的**事件ID 4625**（登录失败）后跟成功的认证**事件ID 4624**。 ### 阶段2：权限提升与持久化（T1136.001, T1098） * **攻击：** 攻击者提升权限以创建 rogue 用户（"hacker"）并将其添加到本地管理员组。 * **检测：** 捕获**事件ID 4720**（用户创建）和**事件ID 4732**（安全管理组），触发未经授权权限提升的关键严重性告警。 ### 阶段3：防御规避（T1059.001） * **攻击：** 利用PowerShell绕过技术执行有效载荷，不受本地执行策略干扰。 * **检测：** 分析**事件ID 4688**（进程创建）以关联`powershell.exe`进程与显式标志`-ExecutionPolicy Bypass -NoProfile`。 ### 阶段4：数据操纵与FIM（T1565.001） * **攻击：** 在关键用户目录中操纵和删除文件。 * **检测：** 利用Wazuh的**文件完整性监控（Syscheck）**创建所有"添加"、"修改"和"删除"操作的取证时间线。 ## 📈 影响分析与规则调优 为了优化SIEM并减少SOC分析师告警疲劳，制定了以下调优措施： 1. **暴力破解阈值：** 调整关联规则，仅当同一源IP在3分钟窗口内发生>15次失败时才触发。 2. **进程创建过滤：** 白名单已知更新服务，同时标记可疑参数（如`-ep bypass`）的高严重性告警。 ## 📄 完整项目报告 有关完整的逐步调查工作流程、仪表板可视化和DQL查询，请查看本仓库中包含的完整PDF报告： [➡️ 点击此处查看SOC告警监控PDF](Upload your PDF to the repo and link it here)

标签：AI合规, AMSI绕过, Cloudflare, MITRE ATT&CK, OpenCanary, SIEM监控, SOC实验室, Sysmon, Wazuh, Windows 11, x64dbg, 协议分析, 告警联动, 威胁情报, 威胁检测, 安全实验室, 安全运营, 实战演练, 开发者工具, 扫描框架, 持续监控, 攻击模拟, 数据操纵, 日志关联分析, 日志采集, 权限提升, 端点检测与响应, 脱壳工具, 驱动签名利用