bangsv/soc-detection-rules
GitHub: bangsv/soc-detection-rules
Stars: 0 | Forks: 0
# Описание
CVE + IOC
| CVE | Описание | IOC Network Traffic |IOC Windows / Linux host |
|:---------:|:---------:|:---------:|:---------:|
| CVE-2017-0143 | [Ссылка](https://nvd.nist.gov/vuln/detail/CVE-2017-0143) | Trans2 Response: NT Status: STATUS_INVALID_PARAMETER (0xc000000d) | Sysmon ID: 3. M.Security ID: 4624 |
| CVE-2021-36942 | [Ссылка](https://nvd.nist.gov/vuln/detail/CVE-2021-36942) | EFS Response: ERROR_BAD_NETPATH | Sysmon ID: 3, 18, |
| CVE-2026-27944 | [Ссылка](https://nvd.nist.gov/vuln/detail/CVE-2026-27944) | GET "/api/backup" | GET "/api/backup" |
| Plug | Plug | Plug |Plug |
Стенд
Для проведения имитационного моделирования была развёрнута полноценная лабораторная инфраструктура, точно воспроизводящая реальную корпоративную сеть. Схема стенда включает несколько изолированных зон, соединённых маршрутизаторами и межсетевыми экранами, что позволяет безопасно генерировать как легитимный пользовательский трафик, так и сложные многоэтапные атаки.
В красной зоне Internet расположены источники угроз и нормальной активности: рабочая станция Kali Linux (Attacker) с полным набором инструментов пентеста, автоматизированный C2-сервер MITRE Caldera для эмуляции реальных TTP по матрице ATT&CK, а также генератор легитимного трафика, имитирующий почту, веб-серфинг и работу с файлами. Трафик проходит через Router 1 и первый межсетевой экран FW 1 в DMZ, где размещены почтовый сервер E Mail и веб-сервер OWASP с уязвимыми приложениями (bWAPP, DVWA). Далее через второй firewall FW 2 трафик попадает во внутреннюю сеть.
Внутренняя инфраструктура разделена на три подсети. Subnet 2 содержит серверы предприятия: AD Server (Windows Server с Active Directory), File Server и DB server. Subnet 1 представляет рабочие станции пользователей — Windows 10 и Ubuntu. Subnet 3 — это зона SOC, где работают ELK Stack (Elasticsearch + Logstash + Kibana) для централизованного сбора и анализа логов, сетевой IDS/IPS Suricata и рабочая станция Host SOC Analyst.
⚠️ Дисклеймер: Все материалы предназначены исключительно для образовательных целей и тестирования в авторизованных средах. Автор не несёт ответственности за неправомерное использование информации.