MrBSykes/security-onion-home-lab-detection-incident-response

🔐 Security Onion 家庭实验室 — 攻击检测与事件响应 作者：Bryan Sykes 日期：2026 年 4 月 平台：Security Onion 2.4.211 | Oracle VirtualBox | Kali Linux 类型：蓝队 | SOC 分析 | 威胁检测 📋 项目概述 本项目演示了在自建的家庭实验室环境中进行的一次完整的攻击与检测模拟。我同时扮演攻击者（红队）和防御者（蓝队）的角色，模拟了一个真实的威胁场景——网络侦察后紧跟凭据暴力破解攻击——并使用企业级安全工具对其进行检测、调查和记录。 最终结果：生成并分类了 404 个 HIGH（高危）严重级别警报，关联了 Zeek 网络日志，并生成了一份正式的 SOC 事件报告——实现了端到端的完整流程。 🏗️ 实验室架构 ┌─────────────────────────────────────────────┐ │ Windows 11 主机 PC │ │ │ │ ┌──────────────────┐ ┌──────────────────┐ │ │ │ Kali Linux VM │ │ Security Onion VM│ │ │ │ 192.168.1.209 │ │ 192.168.1.196 │ │ │ │ (攻击者) │ │ (防御者) │ │ │ └────────┬─────────┘ └────────┬─────────┘ │ │ │ │ │ │ └──── 桥接 ───────────┘ │ │ (家庭网络 LAN) │ └─────────────────────────────────────────────┘ 组件 详情 主机 OS Windows 11 Hypervisor Oracle VirtualBox 攻击者 VM Kali Linux (桥接适配器 — 192.168.1.209) 防御者 VM Security Onion 2.4.211 EVAL (桥接适配器 — 192.168.1.196) 基础 OS (SO) Oracle Linux Server 9.7 检测引擎 Suricata IDS + Sigma Rules + Zeek + Kibana 🎯 项目阶段 阶段 1 — 实验室设置与配置 在 VirtualBox 上以 EVAL 模式安装了 Security Onion 2.4 配置了桥接网络，以提供主机可访问的管理 IP 将 Kali Linux 作为攻击者 VM 部署在同一网段 验证了 VM 之间的双向连通性 阶段 2 — 网络侦察 从 Kali 针对 Security Onion 执行了四种 Nmap 扫描类型： # Ping 扫描 — 发现存活主机 nmap -sn 192.168.1.0/24 # 激进扫描 — 端口、服务、脚本、路由追踪 nmap -A -T4 192.168.1.196 # 服务版本检测 nmap -sV --version-intensity 5 192.168.1.196 # OS 指纹识别 nmap -O 192.168.1.196 主要发现：端口 22 (SSH/OpenSSH 8.7) 开放 — 999 个端口被过滤 — 确认为 Linux OS 阶段 3 — SSH 暴力破解 使用 rockyou.txt 对 SSH 执行了基于字典的凭据攻击： hydra -l root -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.196 -t 4 -V -w 10 手动终止前进行了约 340 次尝试 未发现有效凭据 — SSH 已针对攻击进行安全强化 攻击产生了大量的身份验证失败流量 阶段 4 — 检测与调查 (Security Onion SOC) 切换到防御者角色 — 在 Security Onion 中调查了所有攻击活动： 检测源 发现 Sigma 警报 404 个 HIGH（高危）严重级别警报 — "Grid Node Login Failure (SSH)" Zeek DNS 日志 归因于攻击者 IP (192.168.1.209) 的 50 个 DNS 查询事件 Kibana 跨源日志关联确认了完整的攻击者时间线 警报时间戳 2026-04-24T22:33:00Z — 2026-04-24T22:37:21Z 阶段 5 — 事件报告 制作了一份正式的 SOC 事件报告，记录了： 执行摘要和严重性评估 带有时间戳的完整攻击时间线 两个攻击阶段的技术分析 妥协指标 (IOC) 表 来自所有日志源的检测证据 修复建议 📄 查看完整事件报告 🔍 妥协指标 (IOC) IOC 类型 值 攻击者 IP 192.168.1.209 目标 IP 192.168.1.196 目标端口 22 (TCP/SSH) 目标服务 OpenSSH 8.7 受攻击用户名 root 攻击工具 — 侦察 Nmap 7.95 攻击工具 — 暴力破解 Hydra v9.5 使用的字典 rockyou.txt 生成的警报总数 404 个 HIGH（高危） 攻击窗口 2026-04-24 21:24 – 22:37 UTC 🛠️ 使用的工具 攻击方 (攻击者) Nmap 7.95 — 网络侦察和端口扫描 Hydra v9.5 — SSH 凭据暴力破解 rockyou.txt — 字典列表 (1430 万个密码) 防御方 (SOC 分析师) Security Onion 2.4 — SIEM/NSM 平台 Suricata — 网络入侵检测 (IDS) Sigma — 检测规则引擎 (触发了 404 个警报) Zeek — 网络流量分析和协议日志记录 Kibana — 日志可视化和跨源调查 Elasticsearch — 日志索引和搜索后端 🚧 故障排除文档 本项目在 Security Onion 设置阶段需要进行大量的故障排除。遇到的每一个问题都被完整记录下来，作为学习参考。 问题 1 — 首次启动时出现 VERR_ALREADY_EXISTS 原因：VirtualBox 的 Unattended Installation 功能自动生成的 kickstart 文件 (ks.cfg 和 .viso) 与 Security Onion 自己的安装程序发生冲突。 修复：从 VM 目录中删除了 Unattended-*.cfg 和 Unattended-*.viso 文件。重新创建 VM 并勾选了 Skip Unattended Installation。 预防：在为 Security Onion 创建 VM 时，请始终检查 Skip Unattended Installation。 问题 2 — 遗忘管理员用户名 原因：初始 OS 安装后遗忘了管理员用户名。 修复：通过 GRUB 编辑器引导进入单用户模式： # 在 GRUB 中，编辑 linux 行 — 在末尾添加： rw init=/bin/bash # 引导至 shell 后： mount -o remount,rw / ls /home # 显示用户名 passwd [username] # 重置密码 sync exec /sbin/init # 正常重启 问题 3 — 安装失败 (磁盘空间不足) 原因：虚拟磁盘为 100 GB — 低于 Security Onion 的 200 GB 最低要求。 修复：完全删除 VM 并使用 200 GB 虚拟磁盘重新创建。 教训：Security Onion 存储完整的 PCAP 和 ELK 数据 — 存储要求是不可协商的。 问题 4 — Web UI 无法访问 (NAT 网络模式) 原因：适配器 1 设置为 NAT，分配了无法从 Windows 主机浏览器访问的内部 10.0.2.x 地址。 尝试过：端口转发、Host-Only 适配器、so-allow、so-firewall 命令、iptables flush — 均未解决。 修复：将适配器 1 更改为桥接适配器，然后运行： sudo so-ip-update 这更新了 Security Onion 的内部配置，以识别新的桥接 IP (192.168.1.196)。 问题 5 — Kali VM 无法连接到 Security Onion 原因：初始设置使用了带有静态 IP 的内部网络适配器类型，但 Security Onion 配置在桥接适配器上 — 处于不同的网络段。 修复：将 Kali 的适配器更改为与 Security Onion 网络模式匹配的桥接适配器。两台 VM 都从家庭路由器获得了相同 192.168.1.0/24 子网上的 DHCP 地址。 📋 事件报告摘要 事件 ID：IR-2026-0424-001 严重性：HIGH（高危） 生成的警报：404 检测引擎：Sigma 攻击持续时间：约 73 分钟 (21:24 – 22:37 UTC) 结果：攻击被完全检测到 — 0 个凭据被泄露 📄 查看完整事件报告 📄 查看设置文档 📚 展示的技能 网络入侵检测 (IDS/IPS) SIEM 警报分类和调查 网络流量分析 跨多个源的日志关联 威胁检测和事件响应 网络侦察技术 凭据攻击模拟 Linux 系统管理 (Oracle Linux / Kali) 虚拟网络架构设计 SOC 分析师工作流 — 检测 → 调查 → 文档记录 正式事件报告编写 🔗 相关项目 更多项目即将推出 — 请回访以获取更新。 由 Bryan Sykes 构建并记录 | 北弗吉尼亚 | 2026 目标职位：SOC 分析 | IT 支持 | 网络安全 | 蓝队运营

标签：AMSI绕过, CTI, Metaprompt, Oracle VirtualBox, PoC, Security Onion, SOC分析, SOC报告, TGT, Windows 11, Zeek网络日志, 企业级安全工具, 凭证爆破, 威胁检测, 安全告警分诊, 安全实验室, 安全架构, 安全运营中心, 家庭实验室, 库, 应急响应, 插件系统, 攻击与检测模拟, 攻防演练, 数据展示, 日志关联, 暴力破解, 红队, 网络安全, 网络映射, 虚拟化环境, 蜜罐与检测, 越狱测试, 隐私保护