Prosper-Eromonsele/FinSOC-Lab
GitHub: Prosper-Eromonsele/FinSOC-Lab
一个模拟尼日利亚金融科技环境的虚拟 SOC 实验室,解决企业安全人才实战训练与流程标准化问题。
Stars: 0 | Forks: 0
# FinSOC-Lab
企业级虚拟SOC实验室,模拟尼日利亚金融科技环境,使用Wazuh、Suricata、自定义主动响应和ELK堆栈。旨在展示真实的SIEM、NIDS和自动化事件响应技能。
# 🚨 FinSOC 实验室
**面向金融科技的虚拟安全运营中心(SOC)**
**旨在展示真实的SIEM、NIDS和自动化响应能力**
**拉各斯,尼日利亚 • 2026年4月**
### 🎯 为什么这个项目与众不同
**FinSOC 实验室**是一个完整的、生产级别的虚拟SOC,模拟尼日利亚金融科技环境。
它展示了招聘经理在SOC分析师和初级SOC工程师职位上最看重的实际技能:
- 端到端威胁生命周期:检测 → 相关性 → 自动化遏制
- 深度Suricata NIDS与Wazuh SIEM集成
- 自定义Python主动响应脚本,实现真实自动化阻断
- ELK堆栈集成,用于高级Kibana分析
- 遵循NIST的事件响应剧本,文档完整
这是一个**专业的SOC模拟**,而非基础的家庭实验室。
### 🏗️ 架构
**核心组件**:
- **Wazuh一体化服务器** – 中央SIEM(Manager + Indexer + Dashboard)
- **Linux终端** – Suricata NIDS/IPS + Wazuh代理
- **Windows终端** – 基于主机的检测
- **Kali攻击者虚拟机** – 安全的攻击模拟
- **ELK堆栈** – 高级可视化和相关性层
**流程**:攻击者 → Suricata(`eve.json`)→ Wazuh代理 → Wazuh服务器 → 自定义规则 → 主动响应(`suricata-block-ip.py`)→ Kibana
### ✨ 关键特性
- 针对金融科技威胁(暴力破解、侦察、网络攻击)定制的Suricata规则
- 带有MITRE ATT&CK映射和关联逻辑的Wazuh自定义规则
- 具有iptables/nftables回退和日志记录功能的健壮Python主动响应脚本
- 通过Logstash实现的ELK堆栈集成,提供更丰富的仪表板
- 具有重复违规者升级策略的状态化超时机制
- 四个完整的、基于NIST的事件剧本
### 📂 仓库内容
| 文件夹 | 内容 |
|---------------------------|-------|
| `detection-rules/` | 自定义Suricata与Wazuh规则 |
| `active-response/` | 生产就绪的Python主动响应脚本 |
| `elk-integration/` | Logstash管道配置 |
| `incident-playbooks/` | 4个完整的NIST事件剧本 |
| `dashboards/` | Wazuh与Kibana仪表板截图 |
| `screenshots/` | 检测与响应证据 |
### 📋 事件剧本
- [SSH暴力破解攻击](incident-playbooks/ssh-brute-force.md)
- [网络侦察攻击](incident-playbooks/network-reconnaissance.md)
- [Web应用程序攻击尝试](incident-playbooks/web-application-attack.md)
- [相关性与升级 – 高频暴力破解](incident-playbooks/correlation-escalation.md)
### 🚀 快速开始
1. 克隆仓库
2. 按照`SETUP-HANDBOOK.md`完成10阶段构建指南
3. 推荐:配备16GB内存并安装Oracle VirtualBox的笔记本电脑
4. 完整实验室搭建时间:4–6小时
**实时演示视频** → [观看4分钟完整事件演练](https://youtu.be/YOUR-UNLISTED-LINK) *(替换为你的视频)*
### 📊 实验室结果
- **SSH暴力破解**:由Suricata检测 → 在Wazuh中关联 → IP在8秒内自动阻断
- **网络侦察**:早期ICMP ping扫描被检测并遏制
- **Web应用程序攻击**:可疑的管理门户访问被自动阻止
- **相关规则**:高频攻击触发更长的超时升级
### 💼 这如何为你的SOC团队做准备
- 实际操作真实SIEM + NIDS环境的经验
- 自定义规则编写、调优和相关技能
- 自动化响应和SOAR概念的实践
- 使用NIST框架进行专业事件文档记录
- 使用Wazuh和ELK堆栈进行可视化与分析
**准备好在拉各斯或远程SOC岗位从第一天开始贡献。**
### 📬 联系
- **LinkedIn**:[你的个人资料链接]
- **电子邮件**:[your.email@domain.com]
**用心在拉各斯为下一代尼日利亚网络安全专业人士打造。**
⭐ 如果这个项目对你的SOC旅程有帮助,请给本仓库加星!
**话题**:wazuh, suricata, soc, siem, active-response, elk-stack, cybersecurity-lab, incident-response, mitre-attack, threat-detection, fintech-security, lagos-tech, portfolio-project
标签:AMSI绕过, APT检测, DNS 解析, Elasticsearch, ELK Stack, Fintech, IP 地址批量处理, Metaprompt, NIDS, Suricata, TGT, Wazuh, 主动响应, 内容过滤, 威胁检测, 安全工程, 安全运营中心, 实战演练, 容器化, 尼日利亚, 攻防演练, 日志可视化, 现代安全运营, 生产环境模拟, 网络安全, 网络安全审计, 网络映射, 自动化响应, 虚拟化, 虚拟实验室, 逆向工具, 金融科技, 隐私保护