mukhtaradekola/SOC-Analyst-Home-Lab-Attack-Detection-Analysis

# SOC Analyst 家庭实验室 – 攻击检测与分析 ## 目标 SOC Analyst 家庭实验室项目旨在构建一个现实的安全监控环境，用于模拟和检测网络攻击。主要目标是从受控的攻击者机器生成攻击遥测数据，并使用 SIEM 平台分析日志，以实时检测恶意活动。 本项目侧重于理解攻击者行为、日志分析，以及使用结构化的 SOC 工作流进行事件调查。 ## 掌握的技能 - 使用 Wazuh 进行 SIEM 监控和告警分析的实践经验 - 分析 Windows 事件日志和 Sysmon 遥测数据的能力 - 多阶段网络攻击的检测与调查 - 理解映射到 MITRE ATT&CK 的攻击者技术 - 日志关联和威胁狩猎的动手实践经验 - 提升的事件分析和报告技能 ## 使用的工具 - Wazuh – 用于日志收集、检测和告警的 SIEM 平台 - Sysmon – 用于详细系统活动的端点日志记录 - Kali Linux – 用于模拟攻击的攻击者机器 - Windows 10 虚拟机 – 目标系统 - Hydra – 暴力破解攻击模拟 - PowerShell – 执行与持久化技术 ## 步骤 ### 1. 实验室搭建 搭建了一个包含以下组件的虚拟化环境： - Wazuh 服务器 - 安装了 Sysmon 的 Windows 10 端点 - Kali Linux 攻击者机器 *参考 1：实验室架构图* (架构截图) ### 2. 暴力破解攻击 (初始访问) 从 Kali Linux 发起了一次暴力破解攻击，使用 Hydra 针对 Windows 的 RDP 服务进行攻击。 **检测：** - 在 Wazuh 中检测到多次失败的登录尝试 - 事件 ID 4625 被反复触发 - 源 IP 被识别为攻击者机器 *参考 2：Wazuh 中的暴力破解检测* (显示失败登录告警的截图) ### 3. PowerShell 攻击 (执行) 在 Windows 机器上执行了一条 base64 编码的 PowerShell 命令，以模拟混淆的恶意活动。 **检测：** - 记录了 PowerShell 进程执行日志 - 编码命令被 Wazuh 标记 - 识别出可疑的父子进程关系 *参考 3：PowerShell 编码命令检测* (显示编码 PowerShell 告警的截图) ### 4. 持久化机制 创建了一个计划任务，以在被攻陷的系统上维持持久化。 **检测：** - 捕获了任务创建事件 - 识别出可疑的重复执行模式 *参考 4：计划任务检测* (显示持久化告警的截图) ### 5. 横向移动 / 权限提升 模拟的攻击者行为包括： - 创建新用户帐户 - 将该用户添加到管理员组 - 通过 PowerShell 执行命令 **检测：** - 记录了用户帐户创建操作 - 检测到权限提升活动 - 识别出可疑的命令执行 *参考 5：管理员活动与横向移动检测* (显示用户创建 / 管理员活动的截图) ### 6. 攻击时间线关联 所有事件在 Wazuh 中进行了关联，以重建完整的攻击链： - 初始访问 → 暴力破解 - 执行 → PowerShell 编码命令 - 持久化 → 计划任务 - 横向移动 → 管理员活动 *参考 6：Wazuh 仪表板概览* (显示多重告警时间线的截图) ## MITRE ATT&CK 映射 - T1110 – 暴力破解 - T1059.001 – PowerShell - T1053 – 计划任务 - T1021 – 远程服务 - T1136 – 创建帐户 ## 结论 本项目展示了对真实世界攻击场景进行模拟，并使用 SIEM 平台进行检测的能力。它突出了关键的 SOC 分析师技能，包括日志分析、威胁检测和事件调查。 该实验室为理解攻击者的操作方式以及如何实施防御机制以有效检测和响应威胁提供了坚实的基础。

标签：AI合规, ATT&CK映射, Base64编码混淆, Cloudflare, DNS 反向解析, Hydra, MITRE ATT&CK, OpenCanary, PoC, PowerShell攻击, RDP安全, SIEM部署, SOC分析师, SOC实验室, Sysmon, TGT, Wazuh, Windows 10虚拟机, Windows端点安全, 事件ID 4625, 初始访问, 多阶段网络攻击, 安全信息与事件管理, 安全告警, 安全监控环境, 安全运营中心, 执行防御逃逸, 搜索引擎爬取, 攻击检测与分析, 攻击遥测, 攻防演练, 日志关联分析, 暴力破解, 系统活动监控, 红队模拟, 红队行动, 网络安全实验室, 网络安全项目, 网络映射, 蓝队建设, 速率限制处理