jsmith-sec/soc-home-lab
GitHub: jsmith-sec/soc-home-lab
基于 ELK Stack 和 ARM64 虚拟化构建的家庭 SOC 实验室,用于模拟真实攻击场景并练习 MITRE ATT&CK 映射的威胁检测与事件调查。
Stars: 0 | Forks: 0
# SOC 家庭实验室 — ELK Stack 攻击检测
这是一个构建用于模拟真实攻击场景并使用 Elastic Stack 练习威胁检测的家庭安全运营实验室。该实验室运行在 Apple M4 Mac Mini 上,使用 UTM 虚拟化技术运行两个 ARM64 虚拟机。
## 实验室架构
| 组件 | 详情 |
|---|---|
| 主机 | Apple Mac Mini M4, 32GB RAM |
| SIEM | Ubuntu 26.04 ARM64 — Elasticsearch, Kibana, Elastic Agent |
| 攻击者 | Kali Linux 2023 ARM64 |
| 网络 | 桥接模式 (192.168.1.0/24) |
## 构建内容
- 在 ARM64 Ubuntu 上部署了完整的 ELK stack — Elasticsearch, Kibana, Elastic Agent
- 自定义 Kibana dashboard,用于跟踪失败的认证尝试、主要攻击 IP 以及账户修改事件
- 从零开始编写了两条自定义检测规则
- 安装并启用了 1,618 条 Elastic 预置检测规则
- 对所有攻击活动进行了完整的日志记录、告警和端到端调查
## 模拟攻击
| 攻击 | 工具 | MITRE 技术 |
|---|---|---|
| 网络侦察 | Nmap | T1046 |
| SSH 暴力破解 | Hydra | T1110 |
| 系统发现 | 手动 | T1033, T1087, T1057 |
| 后门账户创建 | 手动 | T1136 |
| 权限提升 | 手动 | T1078 |
## 创建的检测规则
**SSH 暴力破解检测**
- 类型:Threshold
- 查询:`event.dataset : "system.auth" and event.outcome : "failure"`
- 触发条件:单个 IP 在 5 分钟内产生 5 次以上的 SSH 登录失败
- 严重程度:中
**可疑的账户创建或修改**
- 类型:Threshold
- 查询:`event.dataset : "system.auth" and log.syslog.appname : "useradd" or "usermod"`
- 触发条件:任何账户创建或修改事件
- 严重程度:高
## 结果
- 捕获了 851 次失败的认证尝试
- 3 条检测规则共触发了 21 次告警
- 在执行后几秒钟内即检测到后门账户创建
- 全部 6 种 MITRE ATT&CK 技术均成功记录并触发告警
## 仪表板

## 告警

## 完整报告
请查阅 [soc_lab_report.pdf](soc_lab_report.pdf) 获取完整的报告,包括取证证据、MITRE ATT&CK 映射和建议。
## 工具与协助
- Elastic Stack 8.19.14 (Elasticsearch, Kibana, Elastic Agent, Filebeat)
- Kali Linux 2023
- Nmap
- Hydra
- UTM (Apple Silicon 虚拟化)
- Ubuntu 26.04 ARM64
- 在实验室开发和文档编写过程中由 [Claude](https://claude.ai) (Anthropic) 提供的 AI 协助。
## 本系列其他实验室
| 实验室 | 主题 | 仓库 |
|---|---|---|
| 实验室 1 | SOC/SIEM 检测 | 本仓库 |
| 实验室 2 | 事件响应模拟 | [incident-response-lab](https://github.com/jsmith-sec/incident-response-lab) |
| 实验室 3 | Web 应用程序攻击 | [web-app-attack-lab](https://github.com/jsmith-sec/web-app-attack-lab) |
| 实验室 4 | 漏洞评估 | [vulnerability-assessment-lab](https://github.com/jsmith-sec/vulnerability-assessment-lab) |
| 实验室 5 | 恶意软件分析 | [malware-analysis-lab](https://github.com/jsmith-sec/malware-analysis-lab) |
标签:CTI, Elasticsearch, ELK Stack, 安全运营, 扫描框架, 插件系统, 越狱测试