omotara100/MyDFIR-SOC-Project

# MyDFIR-SOC-Project ## 🛡️ 实时 SOC 模拟项目 ## 📌 概述 本项目在云端实验环境中使用 ELK Stack，模拟真实的数字取证与事件响应 (DFIR) 以及安全运营中心 (SOC) 环境。 目标在于积累以下方面的实践经验： - 威胁检测与分析 - 日志收集与关联 - 攻击模拟与调查 - 事件响应与报告 ## 🎯 目标 - 部署并配置 SIEM (ELK Stack) - 使用 Winlogbeat 和 Sysmon 收集端点遥测数据 - 模拟真实攻击（暴力破解、恶意软件、C2） - 在 Kibana 中创建检测规则和仪表板 - 执行威胁狩猎与事件调查 - 以结构化的 SOC 工作流记录调查结果 ## 🧰 工具与技术 - Elasticsearch, Logstash, Kibana (ELK Stack) - Winlogbeat - Sysmon - Mythic C2 Framework - Ubuntu Server (云) - Windows 端点 ## 🧪 实验架构 本实验环境包含： - 用于集中日志管理的云端 ELK 服务器 - 生成日志的 Windows 端点 - 用于攻击性测试的模拟攻击者机器 ## 🔍 展示技能 - SIEM 部署与配置 - 日志分析与事件关联 - 检测工程 - 威胁狩猎 (C2 活动分析) - 事件响应生命周期 ## 📁 项目结构 - `01-lab-setup/` → ELK 部署与基础设施设置 - `02-log-ingestion/` → Winlogbeat 与 Sysmon 配置 - `03-attack-simulation/` → 暴力破解与恶意软件测试 - `04-detection-engineering/` → 检测规则与仪表板 - `05-threat-hunting/` → 使用 Mythic 进行 C2 调查 - `06-incident-response/` → 事件报告与案例处理 - `screenshots/` → 辅助截图 ## 🚀 成果 本项目展示了端到端的 SOC 分析师能力，涵盖了从日志收集到威胁检测、调查以及使用行业相关工具和方法论进行事件响应的完整过程。

标签：AMSI绕过, Conpot, Elasticsearch, ELK Stack, IP 地址批量处理, Linux服务器, Logstash, Mythic C2, PoC, Sysmon, Windows安全, Winlogbeat, 云安全实验室, 内容过滤, 命令与控制, 威胁分析, 威胁检测, 安全事件响应, 安全仪表盘, 安全分析师, 安全实验环境, 安全报告, 安全运营中心, 恶意软件, 攻击模拟, 数字取证与事件响应, 日志关联, 日志采集, 暴力破解, 漏洞修复, 端点遥测数据, 终端监控, 网络安全培训, 网络映射, 自动化侦查工具, 越狱测试, 驱动签名利用