priyanka-sec/SOC-Email-Security-Investigation

## 📌 什么是这个项目？ 这个项目是一个在虚拟环境中从零开始构建的**完整的 SOC（安全运营中心）调查实验室**。 它模拟了真实世界中的网络钓鱼攻击——从攻击者发送邮件的那一刻起，一直到最终的事件报告和修复计划。每一个步骤都遵循了 **SOC Analyst** 在企业环境中会执行的确切工作流程。

## 🎯 本实验室展示的内容 | 技能领域 | 具体操作 | |------------|---------------| | **实验室工程** | 使用 VirtualBox、Windows Server 2022、Kali Linux、hMailServer、DNS Server 和 Sysmon 设计并部署了隔离的 SOC 实验室 | | **攻击模拟** | 使用 `swaks` 模拟网络钓鱼攻击，以复现真实世界中基于邮件的初始访问技术 | | **网络取证** | 使用 Wireshark PCAP 证据捕获、保留并分析了 SMTP 流量 | | **邮件取证** | 执行了原始邮件头分析，以识别发件人基础设施、攻击者 IP 地址、时间戳、路由路径和邮件制品 | | **邮件身份验证** | 使用 Windows DNS Server 配置并验证了 SPF、DKIM（模拟）和 DMARC 控制 | | **日志分析** | 调查了 hMailServer 日志、Sysmon 遥测数据和 Windows 事件数据，以重建攻击活动 | | **提取 IOC** | 识别、分类并记录了妥协指标，包括 IP、URL、邮件地址和工具指纹 | | **威胁情报** | 使用 VirusTotal、MITRE ATT&CK 和结构化威胁分析方法论验证并丰富了 IOC | | **检测工程** | 开发了检测机会、Sigma 规则和 SIEM 用例，以识别类似的钓鱼活动 | | **MITRE ATT&CK 映射** | 将观察到的攻击者行为映射到 MITRE ATT&CK 的技术、战术、数据源和缓解措施中 | | **AI 辅助分析** | 利用 AI 工具加速 IOC 丰富、报告生成和检测开发，同时对所有输出应用分析师验证 | | **事件响应** | 制作了完整的 SOC 事件报告、修复计划、调查时间线和经验教训文档 |

## 🏗️ 实验室架构 ``` ┌─────────────────────────────────────────────────────────────────────┐ │ VirtualBox Host Machine │ │ │ │ ┌──────────────────────┐ ┌───────────────────────────┐ │ │ │ Kali Linux │ │ Windows Server 2022 │ │ │ │ ATTACKER │ │ VICTIM / MAIL SERVER │ │ │ │ │ │ │ │ │ │ IP: 192.168.56.10 │─SMTP:25─▶│ IP: 192.168.56.110 │ │ │ │ │ │ │ │ │ │ Tools: │ │ Services Running: │ │ │ │ • swaks │ │ • hMailServer (SMTP) │ │ │ │ • Wireshark │ │ • DNS Server │ │ │ │ │ │ • Sysmon │ │ │ └──────────────────────┘ │ • Windows Event Logging │ │ │ └───────────────────────────┘ │ │ │ │ Host-Only Network: 192.168.56.0/24 │ └─────────────────────────────────────────────────────────────────────┘ ``` **在 VirtualBox 中运行的两个 VM：**  **Kali Linux — 网络配置 (eth0 NAT + eth1 Host-Only)：**  **Windows Server 2022 — 网络配置 (两个适配器)：**  **连通性已验证 — Kali → Windows Server：**  **连通性已验证 — Windows Server → Kali：** 

## 📁 仓库结构 ``` SOC-Email-Security-Investigation/ │ ├── README.md ← You are here │ ├── 01_Lab_Infrastructure/ │ ├── Lab_Setup_Guide.md ← Full VM + network setup │ ├── hMailServer_Config.md ← Mail server configuration │ ├── DNS_Configuration.md ← DNS zone + SPF/DKIM/DMARC │ ├── Sysmon_Configuration.md ← Sysmon rules + event logging │ └── Network_Topology_Diagram.png ← Visual lab architecture │ ├── 02_Attack_Simulation/ │ ├── Attack_Scenario.md ← Full attack narrative + swaks command │ ├── phishing_email_sample.eml ← Raw phishing email artifact │ └── Wireshark_Analysis.md ← PCAP + SMTP traffic analysis │ ├── 03_Email_Investigation/ │ ├── Email_Header_Analysis.md ← Deep forensic header breakdown │ ├── SPF_DKIM_DMARC_Analysis.md ← SPF / DKIM / DMARC findings │ ├── IOC_Extraction.md ← All IOCs with confidence levels │ └── Threat_Intel_Enrichment.md ← TI validation per IOC │ ├── 04_Log_Analysis/ │ ├── hMailServer_Log_Analysis.md ← SMTP log investigation │ ├── Sysmon_Log_Analysis.md ← Windows event log analysis │ └── Investigation_Timeline.md ← Chronological attack reconstruction │ ├── 05_Detection_Engineering/ │ ├── Detection_Opportunities.md ← Where detections could fire │ ├── Sigma_Rules.md ← Production-ready Sigma rules │ ├── SIEM_Use_Cases.md ← SPL and KQL queries │ └── MITRE_ATT&CK_Mapping.md ← Full framework mapping │ ├── 06_AI_Assisted_Analysis/ │ ├── AI_in_SOC_Overview.md ← AI's role in modern SOC │ ├── AI_Assisted_IOC_Enrichment.md ← AI-accelerated IOC analysis │ ├── AI_Assisted_Report_Writing.md ← AI-drafted IR report workflow │ ├── AI_Assisted_Sigma_Rule_Generation.md ← AI + human Sigma validation │ └── Human_vs_AI_Judgment.md ← Where human judgment is essential │ ├── 07_Incident_Response/ │ ├── SOC_Incident_Report.md ← Enterprise-grade IR report │ ├── Remediation_Plan.md ← Technical remediation steps │ └── Lessons_Learned.md ← Analyst reflection │ └── Screenshots/ └── INDEX.md ← Captioned screenshot index ```

## ⚔️ 攻击场景摘要 | 详情 | 值 | |--------|-------| | **攻击类型** | 网络钓鱼 / 凭据收集模拟 | | **MITRE ATT&CK 技术** | T1566.002 — 鱼叉式钓鱼链接 | | **攻击者机器** | Kali Linux — `192.168.56.10` | | **受害者邮件服务器** | Windows Server 2022 — `192.168.56.110` | | **攻击工具** | `swaks` v20240103.0 | | **邮件诱饵** | 虚假的密码过期通知 — 利用紧迫感进行社会工程学 | | **Payload** | 嵌入在邮件正文中的恶意 URL | | **证据来源** | 邮件头、hMailServer 日志、Sysmon 事件、DNS 记录、Wireshark PCAP | | **传递方式** | 直接连接到端口 25 的 SMTP 连接 | | **邮件身份验证** | SPF ✅ 已配置 \| DKIM ✅ 已模拟 \| DMARC ✅ 已配置 (p=reject) | | **调查结果** | 识别了攻击者基础设施，提取了 IOC，开发了检测规则并记录了修复方案 | **使用 swaks 从 Kali Linux 成功发送钓鱼邮件：**  **hMailServer 接收并记录了邮件：**  **Wireshark 在攻击期间捕获实时 SMTP 流量：** 

## 🔍 调查工作流 ``` ┌─────────────────────────────────────────────────────────────────┐ │ SOC INVESTIGATION FLOW │ └─────────────────────────────────────────────────────────────────┘ PHASE 1 — DETECTION PHASE 2 — INVESTIGATION ┌─────────────────┐ ┌──────────────────────────────┐ │ Phishing email │ │ Email header forensics │ │ arrives in │─────────▶│ SPF/DKIM/DMARC analysis │ │ victim mailbox │ │ IOC extraction │ └─────────────────┘ │ Threat intel enrichment │ └──────────────┬───────────────┘ │ PHASE 4 — RESPONSE PHASE 3 — ANALYSIS ┌─────────────────┐ ┌──────────────────────────────┐ │ Incident report │ │ hMailServer log analysis │ │ Remediation │◀─────────│ Sysmon event log analysis │ │ Lessons learned │ │ Wireshark PCAP analysis │ └─────────────────┘ │ Attack timeline │ │ Detection engineering │ │ MITRE ATT&CK mapping │ └──────────────────────────────┘ ``` **提取的原始邮件头 — 识别出攻击者 IP：**  **在 Received 头中确认了攻击者 IP `192.168.56.10`：** _Attacker_IP_Identification.jpg) **完整的邮件调查结果：** 

## 🔐 邮件身份验证配置 本实验室的关键目标之一是配置真实的邮件身份验证控制，并了解它们的缺失是如何使网络钓鱼攻击成为可能的。 | 协议 | 配置的记录 | 值 | |----------|------------------|-------| | **SPF (Sender Policy Framework)** | 指定哪些邮件服务器有权代表域发送邮件 | `v=spf1 ip4:192.168.56.110 -all` | | **DKIM (DomainKeys Identified Mail)** | 通过加密签名提供消息完整性和发件人真实性 | `selector1._domainkey.lab.local`(模拟) | | **DMARC (Domain-based Message Authentication, Reporting & Conformance)** | 定义 SPF 和 DKIM 验证失败的强制执行策略 | `v=DMARC1; p=reject; rua=mailto:admin@lab.local` |
## 身份验证验证结果 | 控制 | 状态 | |----------|------------------| | **SPF 记录已创建** | ✅ 成功 | | **SPF 记录已验证** | ✅ 成功 | | **DKIM DNS 记录已创建** | ✅ 成功 (模拟) | | **DKIM 验证已测试** | ✅ 成功 | | **DMARC 策略已创建** | ✅ 成功 | | **DMARC 验证已测试** | ✅ 成功 | **安全结果：** 本实验室展示了 SPF、DKIM 和 DMARC 如何协同工作，以降低邮件欺骗风险、改善发件人验证并增强邮件安全态势。 **在 Windows DNS Server 中配置的 DNS 身份验证记录：**  **SPF 记录已验证：**  **DMARC 记录已验证：** _DMARC_Validation.jpg) **DKIM 模拟记录已验证：** _DKIM_Validation.jpg)

## 📊 IOC 摘要 | # | 类型 | 值 | 置信度 | 处置方式 | |---|------|-------|------------|-------------| | 1 | IP 地址 | `192.168.56.10` | 🔴 高 | 攻击者机器 | | 2 | IP 地址 | `192.168.56.110` | 🔴 高 | 受害者邮件服务器 | | 3 | 邮件地址 | `attacker@lab.local` | 🔴 高 | 欺骗性发件人 | | 4 | 邮件地址 | `victim@lab.local` | 🔴 高 | 目标受害者 | | 5 | URL | `http://192.168.56.10/reset` | 🔴 高 | 凭据收集页面 | | 6 | 主机名 | `kali` | 🟠 中 | 攻击者主机名 | | 7 | 工具签名 | `swaks v20240103.0` | 🔴 高 | 攻击工具指纹 | | 8 | 主题模式 | 虚假的密码过期诱饵 | 🟡 中 | 社会工程学指标 | **在 VirusTotal 上验证了攻击者 IP：**  **在 VirusTotal 上验证了恶意 URL：** _VirusTotal_Malicious_URL_Validation.jpg)

## 🧠 MITRE ATT&CK 覆盖范围 | 战术 | 技术 | 子技术 | 是否观察到 | |--------|-----------|---------------|----------| | Initial Access | T1566 — Phishing | T1566.002 — Spearphishing Link | ✅ | | Reconnaissance | T1598 — Phishing for Info | T1598.003 — Spearphishing Link | ✅ | | Defense Evasion | T1036 — Masquerading | T1036.005 — Match Legitimate Name | ✅ | **已映射 MITRE T1566 技术：**  **突出显示 T1566 的 ATT&CK Navigator：** 

## 🔎 日志分析证据 **在攻击期间捕获的 Sysmon 网络连接事件：**  **保存 Wireshark PCAP 文件以进行取证保留：**  **验证了端到端的邮件流：**  **重建的完整调查时间线：** 

## 🤖 AI 辅助分析 该项目还记录了**如何使用 AI 工具加速 SOC 调查任务**——这反映了 2025/2026 年现代 SOC 运营的现实。 | AI 任务 | 使用的工具 | 应用的人工验证 | |---------|-----------|--------------------------| | 从原始头提取 IOC | Claude | ✅ 针对原始 .eml 验证了每个 IOC | | 初始 Sigma 规则起草 | Claude / ChatGPT | ✅ 针对实际日志数据测试了逻辑 | | IR 报告结构和起草 | Claude | ✅ 重写了 AI 出错的部分 | | MITRE 技术建议 | Claude | ✅ 与 ATT&CK Navigator 进行了交叉核对 |

## 🛠️ 工具与技术 | 类别 | 工具 | 用途 | |----------|------|---------| | 虚拟化 | Oracle VM VirtualBox | 隔离的实验室环境 | | 攻击者 OS | Kali Linux | 攻击模拟平台 | | 受害者 OS | Windows Server 2022 | 邮件服务器 + DNS + 日志主机 | | 邮件服务器 | hMailServer | SMTP/POP3 邮件服务器 | | DNS 服务器 | Windows DNS Server | 托管 SPF、DKIM、DMARC 记录 | | Endpoint 日志记录 | Sysmon (Sysinternals) | 进程、网络、DNS 事件记录 | | 网络捕获 | Wireshark | PCAP — SMTP 流量分析 | | 攻击工具 | swaks v20240103.0 | 钓鱼邮件投 | | 检测 | Sigma | 供应商无关的检测规则 | | 框架 | MITRE ATT&CK Navigator | 技术映射与可视化 | | AI 工具 | Claude, ChatGPT | 调查加速 + 验证 | **在 Kali Linux 上验证安装了所有必需的工具：**  **在 Windows Server 上验证了 Sysmon 安装：**  **确认 Sysmon 服务正在运行：** _WindowsServer_Sysmon_Service_Running.jpg)

## 🚦 调查结果 | 发现 | 详情 | |---------|--------| | **攻击是否成功？** | ✅ 邮件已投递 — 最初没有控制措施阻止投递 | | **根本原因** | SPF/DKIM/DMARC 是在攻击发生*之后*配置的，以演示前后的区别 | | **是否识别了攻击者？** | ✅ 通过 `Received` 头确认了 `192.168.56.10` | | **是否识别了工具？** | ✅ 通过 `X-Mailer` 头确认了 `swaks v20240103.0` | | **是否创建了检测规则？** | ✅ 针对 X-Mailer + 直接 SMTP 的 Sigma 规则 | | **是否记录了修复方案？** | ✅ SPF/DKIM/DMARC 强制执行 + SIEM 告警 | **调查已完成 — 验证了完整的工作流：** 

## 📄 核心文档 | 文档 | 描述 | |----------|-------------| | [`SOC_Incident_Report.md`](./07_Incident_Response/SOC_Incident_Report.md) | 企业级事件报告 — 从执行摘要到修复计划 | | [`Email_Header_Analysis.md`](./03_Email_Investigation/Email_Header_Analysis.md) | 完整的带注释取证邮件头分解 | | [`Sigma_Rules.md`](./05_Detection_Engineering/Sigma_Rules.md) | 可用于生产环境的 Sigma 检测规则 | | [`Investigation_Timeline.md`](./04_Log_Analysis/Investigation_Timeline.md) | 整个攻击按时间顺序的重建 | | [`Human_vs_AI_Judgement.md`](./06_AI_Assisted_Analysis/Human_vs_AI_Judgement.md) | AI 提供帮助的方面以及人类判断至关重要的方面 |

## 🧩 展示的技能 `SOC 分析` `邮件取证` `网络钓鱼调查` `SMTP 协议` `Wireshark` `PCAP 分析` `Sysmon` `Windows 事件日志` `DNS 配置` `SPF / DKIM / DMARC` `提取 IOC` `威胁情报` `VirusTotal` `MITRE ATT&CK` `Sigma 规则` `编写 SIEM 查询` `事件响应` `编写 IR 报告` `制定修复计划` `AI 辅助的 SOC 分析` `hMailServer` `swaks` `Kali Linux` `Windows Server 2022` `VirtualBox` `蓝队运营`

## 📈 项目统计 | 指标 | 值 | |----------|----------| | 虚拟机 | 2 | | 邮件服务器 | 1 | | 配置的 DNS 区域 | 1 | | 身份验证控制 | SPF, DKIM, DMARC | | 分析的 PCAP 捕获 | 1 | | 识别的 IOC 类型 | 8 | | 映射的 MITRE 技术 | 3+ | | 创建的检测规则 | 多个 | | 创建的调查时间线 | 是 | | 生成的事件报告 | 是 |

## 👩‍💻 关于分析师 **Priyanka Rane** SOC Analyst (初级) | 蓝队 | 威胁检测与事件响应 🎓 信息技术理学士 — 9.70 CGPA 🏅 认证道德黑客 v13 AI (CEHv13 AI) 🏅 eLearnSecurity 网络渗透测试员 (eNPT) 📍 印度孟买 📧 ranepriyanka567@gmail.com 🔗 [LinkedIn](https://www.linkedin.com/in/priyanka-rane-606a71257/) 🐙 [GitHub](https://github.com/priyanka-sec)

## ⚡ 如何使用本仓库 **如果您是招聘人员或招聘经理：** 从 [`07_Incident_Response/SOC_Incident_Report.md`](./07_Incident_Response/SOC_Incident_Report.md) 开始——它以企业报告格式总结了整个调查过程。 **如果您是正在审查技术工作的 SOC 专业人士：** 从 [`03_Email_Investigation/Email_Header_Analysis.md`](./03_Email_Investigation/Email_Header_Analysis.md) 开始，然后跟进 `04_Log_Analysis/` 和 `05_Detection_Engineering/`。 **如果您是想要复现此实验室的学习者：** 从 [`01_Lab_Infrastructure/Lab_Setup_Guide.md`](./01_Lab_Infrastructure/Lab_Setup_Guide.md) 开始——为了可复现性，记录了每一个步骤。 **如果您对 SOC 中的 AI 感兴趣：** 从 [`06_AI_Assisted_Analysis/AI_in_SOC_Overview.md`](./06_AI_Assisted_Analysis/AI_in_SOC_Overview.md) 开始。

标签：SOC分析, Windows Server, 网络安全, 邮件安全, 钓鱼攻击模拟, 隐私保护