Abdulazizz-1/Cloud-Native-SOC-Lab
GitHub: Abdulazizz-1/Cloud-Native-SOC-Lab
本项目是一个云原生安全运营中心(SOC)实验室,通过模拟真实的C2攻击与暴力破解,完整展示了基于Elastic Stack的端到端检测与事件响应流程。
Stars: 0 | Forks: 0
# 云原生 SOC 运营:检测与事件响应实验室
## 项目概述
本项目演示了如何在云基础设施中部署一个功能完备的安全运营中心 (SOC) 环境。目标是构建一个用于遥测数据摄取的流水线,设计针对暴力破解攻击的自定义检测逻辑,并模拟真实世界的命令与控制 (C2) 攻击,以验证防御体系的有效性。
## 架构与实验室基础设施
该环境托管在 **Vultr** 云基础设施上,用于模拟企业网络和攻击者活动:
* **受害者机器:** Windows Server 2022(配置了 Sysmon 和 Elastic Agent)。
* **攻击者机器:** Kali Linux(托管 Mythic C2)。
* **SIEM 与数据摄取:** Elastic Stack (ELK, Kibana, Fleet Server)。
* **工单系统:** osTicket。
* 攻击流程
# 项目阶段与实施
### 阶段 1:基础设施部署与遥测数据摄取
* 在 Vultr 上部署了云虚拟机。
* 安装了 Elastic Fleet Server,并使用 Elastic Agent 将 Windows 机器注册纳入管理。
* 配置 Sysmon 以监控详细的进程创建和网络连接。
### 阶段 2:日志分析与仪表盘创建
创建了自定义 Kibana 仪表盘,以跟踪通过 RDP 和 SSH 进行的身份验证和暴力破解活动。
* 监控 `Event ID 4624`(登录成功)和 `Event ID 4625`(登录失败)。
* 进行威胁分析的地理位置解析。
### 阶段 3:攻击模拟(红队活动)
#### 攻击阶段 I — RDP 暴力破解(网络向量)
执行攻击场景以验证 SOC 的检测能力。
为了模拟真实的初始访问尝试,我使用 **Hydra** 从 Kali Linux(攻击者)机器发起了一场密码猜测攻击。
* **工具:** Hydra(网络登录破解器)。
* **协议:** 端口 3389 上的 RDP (Remote Desktop Protocol)。
* **目标:** 破解本地管理员凭据以获取目标系统的访问权限。
#### 攻击阶段 II — C2 建立(端点向量)
* 使用 **Mythic C2 Framework**(Apollo C2 配置文件)生成恶意 payload。
* 通过 PowerShell 在受害者机器上投递并执行该 payload。
* 成功建立了命令与控制回调。
### 阶段 4:威胁狩猎与检测(蓝队活动)
在 Elastic Security 中调查了主机和网络遥测数据。
* 识别出 Mythic Apollo agent payload 的异常执行(用于进程创建的 Sysmon Event ID 1)。
* 调查了表明存在篡改和恶意软件检测的 Windows Defender 日志。
### 阶段 5:事件管理与工单记录
使用内部工单系统管理事件响应生命周期。
* 在 osTicket 中创建工单,记录了攻击阶段、受影响资产(`AURAFARMER-WINDOWS`)以及修复策略。
## 证据存档
所有 26 张截图和详细日志均存储在 `Evidence` 目录中,以供核实。
* 攻击流程
# 项目阶段与实施
### 阶段 1:基础设施部署与遥测数据摄取
* 在 Vultr 上部署了云虚拟机。
* 安装了 Elastic Fleet Server,并使用 Elastic Agent 将 Windows 机器注册纳入管理。
* 配置 Sysmon 以监控详细的进程创建和网络连接。
### 阶段 2:日志分析与仪表盘创建
创建了自定义 Kibana 仪表盘,以跟踪通过 RDP 和 SSH 进行的身份验证和暴力破解活动。
* 监控 `Event ID 4624`(登录成功)和 `Event ID 4625`(登录失败)。
* 进行威胁分析的地理位置解析。
### 阶段 3:攻击模拟(红队活动)
#### 攻击阶段 I — RDP 暴力破解(网络向量)
执行攻击场景以验证 SOC 的检测能力。
为了模拟真实的初始访问尝试,我使用 **Hydra** 从 Kali Linux(攻击者)机器发起了一场密码猜测攻击。
* **工具:** Hydra(网络登录破解器)。
* **协议:** 端口 3389 上的 RDP (Remote Desktop Protocol)。
* **目标:** 破解本地管理员凭据以获取目标系统的访问权限。
#### 攻击阶段 II — C2 建立(端点向量)
* 使用 **Mythic C2 Framework**(Apollo C2 配置文件)生成恶意 payload。
* 通过 PowerShell 在受害者机器上投递并执行该 payload。
* 成功建立了命令与控制回调。
### 阶段 4:威胁狩猎与检测(蓝队活动)
在 Elastic Security 中调查了主机和网络遥测数据。
* 识别出 Mythic Apollo agent payload 的异常执行(用于进程创建的 Sysmon Event ID 1)。
* 调查了表明存在篡改和恶意软件检测的 Windows Defender 日志。
### 阶段 5:事件管理与工单记录
使用内部工单系统管理事件响应生命周期。
* 在 osTicket 中创建工单,记录了攻击阶段、受影响资产(`AURAFARMER-WINDOWS`)以及修复策略。
## 证据存档
所有 26 张截图和详细日志均存储在 `Evidence` 目录中,以供核实。标签:AMSI绕过, Elastic Agent, Elastic Stack, MIT许可证, Mythic C2, osTicket, PoC, RDP安全, SIEM架构, SOC实验室, SSH安全, Sysmon, Vultr云主机, Windows Server 2022, 企业安全架构, 威胁检测, 安全仪表盘, 安全实验靶场, 安全运营中心, 工单系统, 库, 应急响应, 攻击模拟, 暴力破解, 流量重放, 端到端检测, 红队行动, 网络安全, 网络映射, 网络研究, 越狱测试, 隐私保护, 驱动签名利用