Gaurav7260/Soc-anomaly-detectiob-mini-lab

# 🔐 SOC异常检测与SIEM监控迷你实验室 一个实践性的网络安全家庭实验室项目，专注于安全运营中心（SOC）监控、流量分析、威胁检测、SIEM操作以及使用Wireshark和Splunk Enterprise进行的事件调查。 本项目模拟真实的SOC分析师活动，包括： - 数据包分析 - 攻击检测 - 日志摄入 - SIEM监控 - 告警生成 - 仪表板创建 - 事件文档化 - 安全调查 # 📌 项目目标 本项目旨在通过以下方式培养实用的SOC分析师技能： - 网络流量监控 - 攻击模拟 - Windows日志分析 - SIEM配置 - 安全告警 - 仪表板可视化 - 事件响应工作流 本项目作为一个以学习为导向的SOC环境构建，旨在获得类似于真实世界安全运营中心活动的经验。 # 🖥️ 实验室环境 ## 💻 主机 - MacBook Air M1 ## 🧪 虚拟化 - UTM虚拟化软件 ## ⚔️ 攻击机 - Kali Linux虚拟机 ## 🎯 靶机 - Windows 11虚拟机 ## 📊 SIEM平台 - Splunk Enterprise # 🛠️ 使用的技术与工具 | 工具 | 用途 | |------|------| | Wireshark | 数据包捕获与流量分析 | | Splunk Enterprise | SIEM监控与日志分析 | | Kali Linux | 攻击模拟 | | Windows事件日志 | 安全事件生成 | | UTM | 虚拟化 | | VS Code | 文档编写 | | GitHub | 项目托管 | | CMD/PowerShell | 系统交互 | # 🎯 展示的技能 ## 🔍 SOC分析师技能 - 安全监控 - 威胁检测 - 事件分析 - 日志调查 - 事件关联 - 告警调优 - 仪表板分析 - 事件报告 ## 🌐 网络技能 - TCP/IP分析 - SYN数据包检测 - 流量检查 - 端口扫描分析 ## 📊 SIEM技能 - 日志摄入 - Splunk查询编写 - 仪表板创建 - 告警工程 - 可视化分析 # 🧪 阶段一 — Wireshark流量分析 ## 📌 目标 理解正常的网络行为，并使用数据包分析识别可疑流量。 ## ⚔️ 攻击模拟 攻击流量生成自： - Kali Linux虚拟机 目标： - Windows 11虚拟机 模拟活动包括： - TCP通信 - SYN扫描 - 异常数据包活动 ## 📊 执行的流量分析 ### ✅ 基线流量监控 观察正常网络行为以理解： - 数据包流向 - 协议使用 - 通信模式 ### ✅ TCP数据包分析 捕获并分析： - TCP握手过程 - 源/目标IP - 数据包序列行为 ### ✅ SYN扫描检测 检测到可疑的SYN流量，可能指示： - 侦察活动 - 端口扫描活动 ## 🧠 阶段一中学到的技能 - 数据包检查 - Wireshark过滤 - 流量基线建立 - 可疑数据包识别 - TCP/SYN分析 - 初始SOC调查工作流 # 📊 阶段二 — Splunk SIEM监控 ## 📌 目标 将Windows安全日志摄入Splunk，并执行基于SIEM的监控与检测。 # 🔄 日志流架构 ``` Windows Event Logs ↓ Splunk Forwarding/Input ↓ Splunk Enterprise ↓ Search Queries ↓ Dashboards & Alerts ↓ Incident Investigation # 📥 日志摄入 Security logs from the Windows VM were successfully ingested into Splunk SIEM for monitoring and investigation. ### 包含日志 - Authentication events - Failed login attempts - Windows security events - Account activity logs --- # 🚨 已实施的安全用例 ## ✅ 失败登录检测 ### 监控事件 - `EventCode 4625` ### 目的 - Detect authentication failures - Identify suspicious login attempts - Monitor abnormal login behavior --- ## ✅ 多次失败登录监控 Repeated failed logins were monitored to identify potentially malicious behavior. ### 潜在指标 - Brute-force attacks - Password spraying - Account targeting - Unauthorized authentication attempts --- # 🔎 使用的 Splunk 查询 ## 📌 失败登录检测 ```spl index=main EventCode=4625 --- # 🧪 阶段 3 — 高级检测与事件响应 ## 📌 目标 The objective of Phase 3 was to simulate advanced SOC threat hunting and incident response workflows using Splunk SIEM and imported attack datasets. This phase focused on: - IOC hunting - PowerShell monitoring - suspicious process analysis - MITRE ATT&CK mapping - incident response workflows - advanced threat hunting --- # 🔎 IOC 狩猎活动 Threat hunting queries were used to identify suspicious indicators including: - PowerShell activity - suspicious process execution - temporary directory activity - attacker-like execution behavior --- # 🚨 使用的检测查询 ## PowerShell 检测 ```spl index=main powershell ``` ## 可疑进程检测 ``` index=main process ``` ## 临时目录活动 ``` index=main temp ``` ## 组合IOC狩猎 ``` index=main powershell OR cmd.exe OR temp ``` # 🛡️ MITRE ATT&CK映射 映射了以下ATT&CK技术： | 技术ID | 技术名称 | 战术 | |---|---|---| | T1059.001 | PowerShell | 执行 | | T1059 | 命令和脚本解释器 | 执行 | | T1204 | 用户执行 | 执行 | # 🚨 事件响应工作流 调查模拟了： - 威胁狩猎 - IOC分析 - 可疑活动调查 - 仪表板监控 - 事件响应文档化 - SOC分析师工作流 # 📊 仪表板与可视化 为以下内容创建了仪表板： - PowerShell监控 - 可疑进程追踪 - 临时目录活动 - IOC狩猎可视化 # 📸 收集的证据 阶段三证据包括： - Splunk仪表板 - IOC狩猎截图 - PowerShell检测结果 - MITRE ATT&CK报告 - 事件响应报告 - 可疑活动分析 # 📈 展示的技能 - 威胁狩猎 - IOC分析 - 检测工程 - PowerShell监控 - MITRE ATT&CK映射 - 事件响应工作流 - Splunk SIEM调查 - 仪表板分析 - SOC文档编写 # 🛡️ 阶段四 — 高级攻击检测与事件响应 ## 📌 目标 阶段四的目标是使用Splunk SIEM、Windows安全日志和攻击模拟技术，模拟真实的攻击检测与SOC调查工作流。 本阶段重点在于： - 暴力破解检测 - 失败登录监控 - 认证攻击分析 - 告警分类 - 仪表板工程 - 事件响应程序 - MITRE ATT&CK映射 # 🚨 攻击模拟活动 在实验室环境中执行了以下攻击模拟： - 重复的失败登录尝试 - 认证攻击模拟 - Nmap侦察扫描 - 可疑登录活动生成 攻击在隔离的虚拟实验室环境中生成，使用： - Kali Linux虚拟机 - Windows虚拟机 - Splunk SIEM # 🔎 使用的检测查询 ## 失败登录检测 ``` index=main EventCode=4625 ``` ## 暴力破解检测 ``` index=main EventCode=4625 | stats count by Account_Name | where count > 3 ``` ## 失败登录时间线 ``` index=main EventCode=4625 | timechart count ``` ## 目标账户监控 ``` index=main EventCode=4625 | top Account_Name ``` # 📊 创建的仪表板 开发了以下仪表板： - 失败登录时间线 - 被攻击最多的目标账户 - 认证活动监控 仪表板可视化包括： - 折线图 - 柱状图 - 认证统计 - 攻击趋势监控 # 🚨 配置的告警 ## 多次失败登录检测 告警配置用于： - 检测重复的认证失败 - 识别暴力破解活动 - 支持SOC监控工作流 告警触发逻辑： ``` index=main EventCode=4625 | stats count by Account_Name | where count > 3 ``` # 🛡️ MITRE ATT&CK映射 | 技术ID | 技术名称 | 战术 | |---|---|---| | T1110 | 暴力破解 | 凭证访问 | # 📝 事件响应活动 事件响应工作流包括： - 认证日志分析 - 暴力破解调查 - 告警分类 - 仪表板监控 - 攻击时间线分析 - SOC文档编写 - MITRE ATT&CK映射 # 📈 展示的技能 - Splunk SIEM监控 - 暴力破解检测 - 仪表板工程 - 告警分类 - SOC调查 - 认证监控 - 事件响应 - MITRE ATT&CK映射 - 检测工程 # 🔥 未来改进 计划的未来增强包括： - Sysmon集成 - Wazuh部署 - 高级端点遥测 - PowerShell检测 - 可疑进程监控 - 网络遥测 - 高级威胁狩猎 - 关联规则 - IOC富化

标签：AI合规, AMSI绕过, Cloudflare, MITRE ATT&CK, SOC分析师, Subfinder, Windows事件日志, Wireshark, 事件文档, 仪表板创建, 包分析, 句柄查看, 培训项目, 威胁检测, 安全调查, 安全运营中心, 家庭实验室, 攻击模拟, 日志摄取, 网络安全, 网络映射, 虚拟化, 警报分类, 隐私保护, 驱动签名利用