sougato-halder-cyber/SOC-LEVEL-2-ADVANCED-

# 🔒 SOC Level 2 高级仪表盘 ## 🎯 概述 专业的 SOC L2 仪表盘，具备 **Active Directory 实验室模拟**、**SIEM 集成**和 **AI 驱动的威胁检测**。 ## 🔥 功能特性 ### Active Directory 实验室模拟 - 虚拟域控制器 (corp.local) - 模拟用户、组和计算机 - 实时 AD 安全事件 (Event IDs: 4624, 4625, 4768, 4769 等) - Kerberos 身份验证监控 ### 攻击模拟 - **RDP 暴力破解**检测 - **Mimikatz LSASS 转储**检测 - **Kerberoasting** 攻击检测 - **DCSync 攻击**检测 - **横向移动** (PsExec) 检测 - **MITRE ATT&CK** 框架映射 ### AI 驱动的检测 - Isolation Forest 异常检测 - 统计 Z-score 分析 - 行为学习 - 实时威胁评分 ### SIEM 集成 - Splunk HTTP Event Collector (HEC) - 事件转发 - 自定义 sourcetype ## 📋 前置条件 ``` pip install -r requirements.txt ``` ## 🚀 运行 ``` python soc_advanced.py ``` 浏览器将自动打开：http://127.0.0.1:5000 ## 🏢 AD 实验室模拟 仪表盘模拟内容： - 域：`corp.local` - DC：`DC01.corp.local` - 用户：administrator, john.doe, jane.smith, svc_sql, backup_admin - 组：Domain Admins, Enterprise Admins, SQL Admins, Backup Operators - 计算机：WS01, WS02, SRV01, SRV02 ### 模拟事件： - 成功/失败登录 - Kerberos TGT/TGS 请求 - 账户更改 - 组修改 - 目录服务更改 ## 🎯 攻击场景 点击 **"LAUNCH ATTACK SIMULATION"** 触发： 1. **侦察** → **初始访问** → **执行** 2. **持久化** → **权限提升** → **横向移动** 3. **收集** → **数据窃取** 每次攻击展示： - 操作时间线 - MITRE ATT&CK 战术 - 检测状态 (已检测/已拦截/已放行) - IOC 和指标 ## 📊 仪表盘部分 | 部分 | 描述 | |---------|-------------| | Dashboard | 主要概览、指标、警报 | | AD Lab | 域信息、用户、计算机、组 | | Attack Sim | 触发攻击、查看时间线 | | Monitoring | FIM、进程、网络状态 | | Threat Intel | 映射至 MITRE ATT&CK 的威胁 | | Network | 拓扑可视化 | | Event Logs | 安全事件表 | | AI Analysis | 异常检测指标 | | Config | 系统设置 | ## 🔨 构建 .EXE ``` pip install pyinstaller pyinstaller --onefile --name SOC_L2_Advanced --hidden-import=flask --hidden-import=flask_socketio --hidden-import=requests --hidden-import=numpy --hidden-import=psutil --hidden-import=sklearn --hidden-import=sklearn.ensemble --hidden-import=sklearn.preprocessing --hidden-import=win32evtlog --hidden-import=win32evtlogutil --add-data "templates;templates" soc_advanced.py ``` ## 📊 Splunk 设置 1. 在 Splunk 中启用 HEC 2. 创建 token 3. 编辑 `soc_config.ini`： ``` [splunk] host = your-splunk-server port = 8088 token = your-token index = security ``` ## 🎓 适用于 SOC/IR 岗位 本项目展示了： - ✅ AD 与 SIEM 的理解 - ✅ MITRE ATT&CK 知识 - ✅ 威胁检测能力 - ✅ 日志分析技能 - ✅ 事件响应工作流 ## 👨‍💻 作者 SOC Level 2 事件响应团队

标签：Active Directory, AD域安全, AD实验室, AI威胁检测, AMSI绕过, Apex, ATT&CK映射, Cloudflare, DCSync攻击, EDR, Flask, HTTP/HTTPS抓包, IP 地址批量处理, Isolation Forest, Kerberoasting, Kerberos认证, LSASS, Mimikatz, MITRE ATT&CK, PE 加载器, Plaso, PoC, PsExec, Python, RDP暴力破解, SOC Level 2, Splunk HEC, Z-score分析, 仪表盘, 凭据转储, 前端大屏, 威胁检测, 安全事件, 安全可视化, 安全模拟, 安全运营中心, 异常检测, 态势感知, 攻击树, 无后门, 暴力破解, 机器学习, 杀伤链, 模拟器, 横向移动, 漏洞挖掘, 编程规范, 网络安全, 网络映射, 脆弱性评估, 虚拟靶场, 逆向工具, 速率限制处理, 隐私保护, 高级监控大屏