Nicohoyoz/enterprise-soc-lab

# 企业安全运营中心 (SOC) 实验室 [](https://opensource.org/licenses/MIT) []() **项目周期：** 8 周 **构建者：** Nicolas Hoyos | [LinkedIn](https://linkedin.com/in/nicolas-hoyos-889647342) | [GitHub](https://github.com/Nicohoyoz) ## 概述 本仓库记录了在家庭实验室环境中构建和运营完整安全运营中心 (SOC) 的全过程。该项目展示了真实场景下的安全监控、自动化事件响应、威胁情报集成和云安全能力。 **目的：** 构建具备作品集水准的安全基础设施，展示与 SOC 分析师和安全工程师职位相关的技能。 ## 架构 ``` ┌─────────────────────────────────────────────────────────────┐ │ DATA SOURCES │ │ Windows | Linux | Docker | AWS Cloud | Network Traffic │ └─────────────────────────┬───────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────────┐ │ SIEM LAYER (Dual SIEM) │ │ ┌──────────────────┐ ┌───────────────────┐ │ │ │ Splunk Enterprise│ │ Elastic Stack │ │ │ │ - Real-time │ │ - Analytics │ │ │ │ - Alerting │ │ - ML Detection │ │ │ └──────────────────┘ └───────────────────┘ │ └─────────────────────────┬───────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────────┐ │ ORCHESTRATION & AUTOMATION (SOAR) │ │ Shuffle: Automated playbooks for incident response │ └─────────────────────────┬───────────────────────────────────┘ ↓ ┌─────────────────────────────────────────────────────────────┐ │ ENRICHMENT & DETECTION │ │ MISP (TIP) | Velociraptor (EDR) | Zeek (Network Analysis) │ └─────────────────────────────────────────────────────────────┘ ``` 详情请参阅 [ARCHITECTURE.md](ARCHITECTURE.md) 获取详细的架构图。 ## 组件 ### 核心 SIEM - **Splunk Enterprise**（500MB/天免费额度）- 用于实时告警的主要 SIEM - **Elastic Stack** (ELK) - 用于分析和长期存储的辅助 SIEM ### 安全自动化 - **Shuffle SOAR** - 自动化事件响应 playbook - **自定义 Python 脚本** - 工具间的集成纽带 ### 威胁检测 - **Suricata IDS** - 网络入侵检测（3 万+条特征签名） - **Zeek** - 网络安全监控与流量分析 - **Velociraptor** - 端点检测与响应 (EDR) ### 威胁情报 - **MISP** - 拥有 50 万+ IoC 的威胁情报平台 - **AlienVault OTX** - 社区威胁源 - **Abuse.ch** - 恶意软件和僵尸网络源 ### 云安全 - **AWS GuardDuty** - 云原生威胁检测 - **AWS Security Hub** - 集中式安全态势管理 - **CloudTrail** - API 审计日志 ### 漏洞管理 - **OpenVAS** - 开源漏洞扫描器 - **自动化扫描** - 每周全量扫描，每日快速扫描 ## 检测能力 | 攻击类型 | 检测方法 | 响应时间 | |-------------|------------------|---------------| | 端口扫描 | Suricata IDS | <30 秒 | | 暴力破解 | Splunk 关联分析 | <1 分钟 (自动封禁) | | 恶意软件执行 | Velociraptor EDR | <2 分钟 | | 横向移动 | Zeek + Elastic ML | <5 分钟 | | 数据渗出 | Zeek 行为分析 | <10 分钟 | | 云账号失陷 | AWS GuardDuty | 实时 | | 权限提升 | EDR + SIEM 关联分析 | <3 分钟 | ## 自动化响应 Playbook 1. **暴力破解响应** - 触发条件：5 分钟内出现 5 次登录失败 - 动作：封禁源 IP，创建工单，告警 SOC 2. **恶意软件遏制** - 触发条件：EDR 检测到可疑进程 - 动作：隔离端点，收集取证数据，隔离文件 3. **端口扫描缓解** - 触发条件：来自单一源的 20 个以上端口被扫描 - 动作：限速，告警，查询 MISP 进行 IoC 扩展 4. **云账号失陷** - 触发条件：AWS GuardDuty 严重告警 - 动作：禁用 IAM 凭证，对实例制作快照，告警安全团队 ## 项目周期 | 周 | 关注领域 | 状态 | |------|-----------|--------| | 1-2 | SIEM 基础 | 🔄 进行中 | | 3 | 网络监控 | ⏳ 已计划 | | 4 | 安全自动化 (SOAR) | ⏳ 已计划 | | 5 | 威胁情报 (MISP) | ⏳ 已计划 | | 6 | 端点检测 | ⏳ 已计划 | | 7 | 云安全 (AWS 集成) | ⏳ 已计划 | | 8 | 漏洞管理 + 文档编写 | ⏳ 已计划 | ## 指标与 KPI ### 性能指标 - **日志摄取：** 所有数据源每日 10GB+ - **平均检测时间 (MTTD)：** <5 分钟 - **平均响应时间 (MTTR)：** <15 分钟（自动化），<2 小时（手动） - **告警准确率：** 85%（目标误报率 <15%） ### 安全态势 - **严重漏洞：** 95% 在 7 天内修复 - **端点覆盖率：** 100% 的实验室系统受监控 - **威胁情报扩展：** 100% 的告警均已结合 IoC 上下文进行扩展 ## 仓库结构 ``` enterprise-soc-lab/ ├── docs/ # Weekly setup guides and documentation ├── configs/ # Configuration files for all tools ├── playbooks/ # SOAR automation playbooks ├── queries/ # SPL, EQL, KQL detection queries ├── scripts/ # Python automation scripts ├── docker-compose/ # Docker deployment files ├── screenshots/ # Dashboard and alert screenshots └── tests/ # Attack simulation scripts ``` ## 快速开始 ### 前置条件 - 16GB+ 内存（推荐 32GB） - 200GB+ 可用磁盘空间 - 已安装 Docker 和 Docker Compose - AWS 账号（免费套餐） ### 阶段 1：Splunk 设置（第 1 周） ``` # Clone repository git clone https://github.com/Nicohoyoz/enterprise-soc-lab cd enterprise-soc-lab # 下载 Splunk Enterprise # 访问：https://www.splunk.com/en_us/download.html # 安装 Splunk sudo dpkg -i splunk-enterprise-*.deb cd /opt/splunk/bin sudo ./splunk start --accept-license # 访问 Splunk：http://localhost:8000 # 默认凭据：admin / changeme (请立即修改) ``` 完整安装指南请参见 [docs/week-01-splunk-setup.md](docs/week-01-splunk-setup.md)。 ## 展示技能 ### 技术技能 - SIEM 运营与日志分析 - 安全自动化与编排 (SOAR) - 威胁情报集成与 IoC 扩展 - 事件检测与响应工作流 - 云安全监控 (AWS) - 网络流量分析 - 端点检测与响应 (EDR) - 漏洞管理与修复跟踪 ### 工具与技术 - **SIEM：** Splunk, Elastic Stack (Elasticsearch, Logstash, Kibana) - **SOAR：** Shuffle, Tines - **IDS/IPS：** Suricata, Zeek - **EDR：** Velociraptor - **威胁情报：** MISP, AlienVault OTX, Abuse.ch - **云：** AWS (GuardDuty, Security Hub, CloudTrail, Lambda, EventBridge) - **漏洞扫描：** OpenVAS - **脚本：** Python, Bash - **容器化：** Docker, Docker Compose - **操作系统：** Linux (Ubuntu), Windows ## 攻击模拟与测试 所有检测能力均已通过模拟攻击进行测试： - **Nmap 端口扫描** → 由 Suricata + Zeek 检测 - **SSH 暴力破解** → 由 Splunk 关联规则检测 - **SQL 注入尝试** → 由 Suricata Web 应用规则检测 - **PowerShell 执行** → 由 Velociraptor EDR 检测 - **AWS 加密挖矿** → 由 AWS GuardDuty 检测 - **横向移动** → 由 Zeek + Elastic ML 检测 请参阅 [tests/](tests/) 目录获取攻击模拟脚本。 ## 文档 - **[PROJECT_HANDOFF.md](PROJECT_HANDOFF.md)** - 完整的项目概览与时间线 - **[ARCHITECTURE.md](ARCHITECTURE.md)** - 详细的架构图 - **[docs/week-01-splunk-setup.md](docs/week-01-splunk-setup.md)** - Splunk 安装指南 - **[docs/week-02-elastic-setup.md](docs/week-02-elastic-setup.md)** - Elastic Stack 设置 - 更多每周设置指南请见 [docs/](docs/) ## 截图 ### Splunk 仪表板  ### Elastic Kibana 安全分析  ### SOAR 自动化 Playbook 执行  ## 学习资源 ### 官方文档 - [Splunk 文档](https://docs.splunk.com/) - [Elastic Stack 文档](https://www.elastic.co/guide/index.html) - [AWS 安全最佳实践](https://docs.aws.amazon.com/security/) - [MISP 用户指南](https://www.misp-project.org/documentation/) ### 免费培训 - [Splunk 基础 1](https://education.splunk.com/)（免费） - [Elastic 培训](https://www.elastic.co/training/free)（免费） - [AWS 安全学习路径](https://aws.amazon.com/training/learn-about/security/) ### 实践与 CTF - [Boss of the SOC](https://cyberdefenders.org/blueteam-ctf-challenges/) - Splunk CTF - [LetsDefend](https://letsdefend.io/) - SOC 分析师培训平台 - [TryHackMe SOC Level 1](https://tryhackme.com/path/outline/soclevel1) ## 路线图 ### 已完成 - [ ] 项目架构设计完成 - [ ] 仓库结构创建完成 - [ ] 文档框架确立 ### 进行中 - [ ] Splunk Enterprise 部署 - [ ] Elastic Stack 部署 - [ ] 日志源配置 ### 已计划 - [ ] SOAR 自动化实现 - [ ] 威胁情报集成 - [ ] EDR 部署 - [ ] 云安全监控 - [ ] 漏洞管理流水线 - [ ] 包含截图的完整文档 - [ ] 视频演练/演示 ## 贡献 这是一个个人作品集项目，但欢迎提出建议和反馈！您可以自由地： - 提交 Issue 进行提问或提出建议 - 如果您对文档有改进意见，请提交 PR - 分享您自己的 SOC 实验室实现 ## 许可证 MIT 许可证 - 详情请参阅 [LICENSE](LICENSE) ## 联系方式 **Nicolas Hoyos** - 邮箱：nhoyosdev@gmail.com - LinkedIn：[linkedin.com/in/nicolas-hoyos-889647342](https://linkedin.com/in/nicolas-hoyos-889647342) - GitHub：[@Nicohoyoz](https://github.com/Nicohoyoz) ## 致谢 - **Splunk** 提供免费的企业版额度 - **Elastic** 提供开源技术栈 - **MISP Project** 提供威胁情报平台 - **Velociraptor** 团队提供出色的 EDR 工具 - 感谢安全社区提供的开源工具和知识分享 **项目状态：** 🔄 积极开发中 **最后更新：** 2026 年 5 月 **预计完成时间：** 自启动起 8 周 *伴随 ☕ 与对安全运营的热情而构建*

标签：AMSI绕过, AWS安全, DNS解析, Docker安全, Elastic Stack, ELK, Linux监控, Metaprompt, MIT许可证, PB级数据处理, SOC实验室, Windows监控, 代码示例, 企业安全架构, 企业级基础设施, 告警规则, 威胁情报, 威胁检测, 安全分析师, 安全实验室, 安全工程, 安全运维, 安全运营中心, 应用安全, 开发者工具, 开源项目, 数据分析, 流量重放, 网络安全, 网络映射, 自动化响应, 请求拦截, 逆向工具, 隐私保护