MorgRoberts/SOC-home-lab

# SOC 家庭实验室 | Splunk SIEM 检测工程 一个动手实践的安全运营中心家庭实验室，旨在模拟真实攻击、开发 Splunk 检测规则，并练习一级 SOC 分析师工作流程，包括警报分类、事件文档记录和上报程序。 ## 实验室环境 | 组件 | 详情 | |-----------|---------| | SIEM | Splunk Enterprise 10.2.2 | | 宿主机 | MacBook Pro (Apple Silicon) | | Hypervisor | VMware Fusion | | 存储 | Samsung T7 SSD | | Windows 虚拟机 | Windows 11: 目标机 / Splunk 服务器 | | Linux 虚拟机 | Ubuntu Linux: 目标机 / 日志源 | | 攻击虚拟机 | Kali Linux: 攻击机 | ## 模拟攻击与构建的检测 ### 1. 暴力破解凭证攻击 - 模拟产生事件 ID 4625 的失败登录尝试 - 构建 SPL 检测规则：在 60 秒内出现 5 次以上失败时触发高危警报 - 创建了包含 3 个面板的仪表盘：攻击时间线、失败登录次数、受影响的账户 - **MITRE ATT&CK:** T1110 暴力破解 - **事件报告:** IR-2026-001 ### 2. Nmap 侦察 (网络) - 从 Kali Linux 向 Windows 目标机执行 SYN 扫描 - 在 Splunk 中检测到 8 个防火墙 DROP 事件，确认了侦察活动 - 构建实时警报：Nmap 侦察检测 (高危) - **MITRE ATT&CK:** T1046 网络服务发现 - **事件报告:** IR-2026-002 ### 3. 钓鱼邮件取证分析 - 使用 emlAnalyzer 和手动标头检查分析了 PayPal 冒充样本 - 提取了 IOC：恶意误植域名、不匹配的 Reply-To、源 IP、凭证窃取 URL - 通过 VirusTotal 调查了攻击者基础设施，识别出防弹主机提供商 - **MITRE ATT&CK:** T1566 钓鱼攻击 - **事件报告:** IR-2026-003 ### 4. VPN 日志分析：不可能的旅行检测 - 接入 VPN 日志并调查了在 60 分钟内跨 4 个 IP 从 3 个州进行连接的用户账户 - 识别出与凭证泄露相符的并发会话 - 遵循一级 SOC 程序记录了完整的上报报告 - **MITRE ATT&CK:** T1078 有效账户 - - **事件报告:** IR-2026-004 ### 5. SSH 暴力破解攻击 - 从 Kali Linux 对 22 端口的 Ubuntu 目标机执行了 SSH 暴力破解 - 产生了 55 个被 auth.log 捕获的失败身份验证事件 - 使用 rex 字段提取构建了 SPL 检测，以识别攻击 IP - 确认 0 次成功登录，攻击已被遏制 - 在 Splunk 中构建并保存了 SSH 暴力破解检测警报 - **MITRE ATT&CK:** T1110 暴力破解 - - **事件报告:** IR-2026-005 ## SPL 检测规则 ``` # Windows Brute Force 检测 index=main sourcetype=WinEventLog:Security EventCode=4625 | stats count by Account_Name | where count > 5 # SSH Brute Force 检测 index="linux_auth" "Failed Password" | rex "from (?P\d+\.\d+\.\d+\.\d+)" | stats count by src_ip | where count > 5 # VPN Impossible Travel 检测 index=vpn_logs | stats dc(source_state) as unique_states by UserName | where unique_states > 1 ``` ## 日志源 | 源 | 类型 | 索引 | |--------|------|-------| | Windows 安全事件日志 | Windows 事件 | main | | Windows 防火墙日志 | pfirewall.log | main | | Linux auth.log | SSH 身份验证 | linux_auth | | VPN 日志 | JSON | vpn_logs | ## 使用工具 - **Splunk Enterprise** SIEM、检测、仪表盘、警报 - **SPL** 用于所有检测的搜索处理语言 - **Kali Linux** Nmap、SSH 暴力破解模拟 - **emlAnalyzer** 钓鱼邮件标头分析 - **VirusTotal** IOC 调查和信誉分析 - **MITRE ATT&CK Framework** 检测映射 - **NIST 800-53** 控制评估 ## 认证 - CompTIA Security+ CE - Splunk Core Certified User (进行中) - TryHackMe; Splunk: The Basics (已完成), Splunk: Setting up a SOC Lab (已完成)

标签：Cloudflare, Conpot, MITRE ATT&CK, PoC, SOC实验室, SPL查询, VMware虚拟化, VPN异常检测, Windows安全, 不可能旅行, 信息安全管理, 初级行动分析师, 告警分诊, 妥协指标, 安全合规, 安全实验环境, 安全态势感知, 安全运营中心, 插件系统, 攻击模拟, 数字取证, 暴力破解, 红队行动, 网络代理, 网络安全, 网络映射, 自动化脚本, 隐私保护, 驱动签名利用, 鱼叉式网络钓鱼