jsmith-sec/soc-home-lab

GitHub: jsmith-sec/soc-home-lab

基于 ELK Stack 和 ARM64 虚拟化构建的家庭 SOC 实验室,用于模拟真实攻击场景并练习 MITRE ATT&CK 映射的威胁检测与事件调查。

Stars: 0 | Forks: 0

# SOC 家庭实验室 — ELK Stack 攻击检测 这是一个构建用于模拟真实攻击场景并使用 Elastic Stack 练习威胁检测的家庭安全运营实验室。该实验室运行在 Apple M4 Mac Mini 上,使用 UTM 虚拟化技术运行两个 ARM64 虚拟机。 ## 实验室架构 | 组件 | 详情 | |---|---| | 主机 | Apple Mac Mini M4, 32GB RAM | | SIEM | Ubuntu 26.04 ARM64 — Elasticsearch, Kibana, Elastic Agent | | 攻击者 | Kali Linux 2023 ARM64 | | 网络 | 桥接模式 (192.168.1.0/24) | ## 构建内容 - 在 ARM64 Ubuntu 上部署了完整的 ELK stack — Elasticsearch, Kibana, Elastic Agent - 自定义 Kibana dashboard,用于跟踪失败的认证尝试、主要攻击 IP 以及账户修改事件 - 从零开始编写了两条自定义检测规则 - 安装并启用了 1,618 条 Elastic 预置检测规则 - 对所有攻击活动进行了完整的日志记录、告警和端到端调查 ## 模拟攻击 | 攻击 | 工具 | MITRE 技术 | |---|---|---| | 网络侦察 | Nmap | T1046 | | SSH 暴力破解 | Hydra | T1110 | | 系统发现 | 手动 | T1033, T1087, T1057 | | 后门账户创建 | 手动 | T1136 | | 权限提升 | 手动 | T1078 | ## 创建的检测规则 **SSH 暴力破解检测** - 类型:Threshold - 查询:`event.dataset : "system.auth" and event.outcome : "failure"` - 触发条件:单个 IP 在 5 分钟内产生 5 次以上的 SSH 登录失败 - 严重程度:中 **可疑的账户创建或修改** - 类型:Threshold - 查询:`event.dataset : "system.auth" and log.syslog.appname : "useradd" or "usermod"` - 触发条件:任何账户创建或修改事件 - 严重程度:高 ## 结果 - 捕获了 851 次失败的认证尝试 - 3 条检测规则共触发了 21 次告警 - 在执行后几秒钟内即检测到后门账户创建 - 全部 6 种 MITRE ATT&CK 技术均成功记录并触发告警 ## 仪表板 ![SOC 攻击检测 Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/cas/57/573e590e6e890b042ef54c227fdf310955e7255c9110b1ddeb52f9c7334397d7.png) ## 告警 ![Kibana 告警](https://static.pigsec.cn/wp-content/uploads/repos/cas/01/01c2a763ebca2c82a53429bf51b117cbf20c0c8a405312e66dbaf4926af40287.png) ## 完整报告 请查阅 [soc_lab_report.pdf](soc_lab_report.pdf) 获取完整的报告,包括取证证据、MITRE ATT&CK 映射和建议。 ## 工具与协助 - Elastic Stack 8.19.14 (Elasticsearch, Kibana, Elastic Agent, Filebeat) - Kali Linux 2023 - Nmap - Hydra - UTM (Apple Silicon 虚拟化) - Ubuntu 26.04 ARM64 - 在实验室开发和文档编写过程中由 [Claude](https://claude.ai) (Anthropic) 提供的 AI 协助。 ## 本系列其他实验室 | 实验室 | 主题 | 仓库 | |---|---|---| | 实验室 1 | SOC/SIEM 检测 | 本仓库 | | 实验室 2 | 事件响应模拟 | [incident-response-lab](https://github.com/jsmith-sec/incident-response-lab) | | 实验室 3 | Web 应用程序攻击 | [web-app-attack-lab](https://github.com/jsmith-sec/web-app-attack-lab) | | 实验室 4 | 漏洞评估 | [vulnerability-assessment-lab](https://github.com/jsmith-sec/vulnerability-assessment-lab) | | 实验室 5 | 恶意软件分析 | [malware-analysis-lab](https://github.com/jsmith-sec/malware-analysis-lab) |
标签:CTI, Elasticsearch, ELK Stack, 安全运营, 扫描框架, 插件系统, 越狱测试