Lakunsin/Multi-Layered-SOC-Implementation-Threat-Detection-Lab

# 多层 SOC 实验室：威胁检测与自动化恶意软件修复 **作者：** Olakunle Odesanya 初级网络安全分析师 2026年5月 技术栈：Wazuh (SIEM)、Suricata (IDS)、VirusTotal API、Ubuntu (终端节点)、Kali Linux (管理器)、Diamorphine ## 1. 概述 本项目展示了如何部署一个功能性的安全运营中心 (SOC)，旨在检测基于主机、网络、身份和文件的威胁。通过集成 Wazuh、Suricata 和 VirusTotal，我创建了一个统一的可视性管道，能够在虚拟化实验室环境中识别内核级混淆（rootkit）、恶意网络模式、未经授权的访问尝试，并实现自动化的恶意软件修复。 ## 2. 基础设施架构 实验室环境是使用私有虚拟网络构建的，用于模拟企业内部 LAN。 • Wazuh Manager：Kali Linux（集中智能）。 • 受管终端节点：代理名称：TSAcademy (Ubuntu 22.04 LTS) • 连接性：TSAcademy 代理通过专用的虚拟网桥与 Manager 进行通信。连接性已通过 Wazuh Dashboard 进行验证，显示代理状态为“Active”。 ## 3. 身份与访问监控：Syslog 分析 我建立了系统访问的基线可视性。 • 实现方式：配置 TSAcademy 代理以监控 /var/log/auth.log 并收集 syslog 数据。 • 攻击模拟：在 TSAcademy 代理上执行了多次失败的登录尝试。 • 检测结果：Wazuh Dashboard 成功生成了“User authentication failure”告警，规则级别为 3，Rule.id 为 2501。这为潜在的暴力破解攻击提供了实时的可视性。 ## 4. 基于主机的安全：Rootkit 模拟与检测 目的是测试 SIEM 使用 Diamorphine rootkit 发现“隐形”威胁的能力。 • 攻击阶段：执行了一次隐蔽攻击以隐藏 rsyslogd 进程。使用 ps aux | head 获取了 PID，并运行了终止信号。使用 kill -31 PID 后，该进程在内存中保持活动状态，但对 ps aux 变得不可见。 • 防御阶段：通过将 rootcheck 频率更改为 30 秒以进行快速完整性审计，从而加固了 TSAcademy 代理。 • 检测结果：Wazuh Manager 识别出内核进程表和系统调用之间的差异，针对隐藏进程触发了 11 级高严重性告警 (Rule 521)。 ## 5. 网络安全：Suricata NIDS 集成 为了扩展可视性，我集成了 Suricata 进行深度包检测 (DPI)。 • 实现方式：安装了带有 Emerging Threats (ET) Open 规则集的 Suricata。 • 管道：将 Suricata 的 eve.json 输出集成到 TSAcademy 代理的收集引擎中，将网络遥测数据与主机日志合并。 • 验证：通过 Kali Linux 终端生成了 ICMP 流量。IDS 成功标记了侦察尝试，在 Wazuh Dashboard 上提供了统一的视图。 ## 6. 自动化响应：VirusTotal 与恶意软件修复 实现了一个 Active Response 循环来自动处理恶意文件。 • 文件完整性监控 (FIM)：配置 TSAcademy 代理以监控 /root 目录中的新文件。 • API 集成：将 Wazuh Manager 连接到 VirusTotal API，以分析由 FIM 在 TSAcademy 代理上检测到的文件哈希值。 • 威胁触发：创建了一个自定义规则 (87105)，该规则仅在 VirusTotal 返回确认的恶意软件结果时触发。 • 验证：我将 EICAR 测试文件下载到了 TSAcademy 的 /root 目录中。几秒钟内，该文件即被识别，被验证为恶意文件，并被 Active Response 模块自主删除。 ## 7. 结论 该实验室验证了纵深防御策略。虽然 rootkit (Diamorphine) 成功欺骗了本地操作系统实用程序，并且网络探测 (ICMP) 测试了网络边界，但 SOC 交叉引用内核数据、检查网络数据包以及通过 API 集成自主修复恶意软件的能力，确保了即使是复杂的攻击也能被识别并被中和。

标签：AMSI绕过, Diamorphine, EDR, IP 地址批量处理, Metaprompt, SOC实验室, Suricata, Syslog监控, VirusTotal API, Wazuh, x64dbg, 企业内网模拟, 免杀技术, 内核级威胁, 威胁检测, 安全事件管理, 安全运营中心, 恶意软件自动清除, 攻击模拟, 无线安全, 暴力破解检测, 现代安全运营, 端点安全, 网络安全, 网络映射, 网络流量分析, 脆弱性评估, 自动化响应, 虚拟化实验室, 补丁管理, 身份与访问监控, 隐私保护, 驱动签名利用