kokouvi-ek/Cloud-SOC-Monitoring-Alert-Triage-Incident-Response-Lab-GCP-
GitHub: kokouvi-ek/Cloud-SOC-Monitoring-Alert-Triage-Incident-Response-Lab-GCP-
基于 GCP 原生安全工具链构建的云 SOC 实验室,模拟真实攻击场景并提供完整的安全监控、告警分诊、威胁狩猎与事件响应工作流实践环境。
Stars: 0 | Forks: 0
# 云 SOC 监控、警报分诊与事件响应实验室
## 概述
本项目是一个完全构建在 Google Cloud Platform (GCP) 上的云原生安全运营中心 实验室,旨在模拟真实的安全监控、警报分诊、威胁检测和事件响应工作流程。
本实验室重点关注:
- 云安全监控
- 威胁检测工程
- 身份验证监控
- IAM 滥用检测
- 事件响应调查
- 云遥测分析
- 使用 BigQuery 进行威胁狩猎
- MITRE ATT&CK 映射
该环境特意设计为使用原生 GCP 安全工具和逼真的攻击模拟来模拟企业 SOC 运营。
请在 README 的末尾查看我的结果截图
# 架构概述
## 核心技术
| 类别 | 技术 |
|---|---|
| 云平台 | Google Cloud Platform (GCP) |
| 日志聚合 | Google Cloud Logging |
| 威胁检测 | Security Command Center |
| SIEM / 分析 | BigQuery |
| 端点遥测 | Google Cloud Ops Agent |
| 监控与警报 | Cloud Monitoring |
| 身份安全 | Google Cloud IAM |
| 审计遥测 | Cloud Audit Logs |
| 计算资源 | Compute Engine |
# 项目目标
构建此实验室旨在模拟:
- SOC 分析师工作流程
- 云事件响应调查
- 安全警报分诊流程
- IAM 权限提升检测
- 身份验证滥用检测
- 云威胁狩猎
- 基于 MITRE ATT&CK 的分析
主要关注点是操作性云安全分析,而不仅仅是简单的基础设施部署。
# 实验室环境
## 基础设施组件
| 资源 | 用途 |
|---|---|
| 监控 VM | 安全监控和日志分析 |
| 员工工作站 VM | 模拟员工工作站 |
| IAM 用户 | 身份攻击模拟 |
| 审计日志 | API 和管理活动跟踪 |
| 警报策略 | 检测和升级工作流程 |
| BigQuery Sink | 威胁狩猎和日志关联 |
# 模拟的安全场景
## 1. 暴力破解身份验证攻击
**MITRE ATT&CK:** T1110 – Brute Force
### 模拟活动
- 反复失败的 SSH 身份验证尝试
- 异常登录行为
- 身份验证异常生成
### 检测来源
- Cloud Logging
- VM 身份验证日志
- 警报策略
## 2. 有效账户滥用
**MITRE ATT&CK:** T1078 – Valid Accounts
### 模拟活动
- 合法凭证滥用
- 未经授权的管理操作
- 可疑账户行为
### 检测来源
- IAM 审计日志
- 身份验证遥测
- Compute Engine 活动日志
## 3. 权限提升
**MITRE ATT&CK:** T1548 – Abuse Elevation Control Mechanism
### 模拟活动
- IAM 角色修改
- 未经授权的权限分配
- 管理权限提升
### 检测来源
- SetIamPolicy 审计事件
- IAM 角色监控
- Security Command Center 发现
# 日志记录与监控流水线
## 审计日志配置
已启用:
- Admin Read 日志
- Data Read 日志
- Data Write 日志
受监控的服务:
- IAM
- Compute Engine
- Cloud Storage
- BigQuery
## 端点遥测
已配置:
- Google Cloud Ops Agent
- 系统日志转发
- 身份验证事件收集
- 进程级遥测
## 警报工作流程
已实现:
- 基于日志的指标
- 基于阈值的检测
- 电子邮件警报通知
- 事件升级工作流程
### 检测示例
```
Multiple failed SSH authentication attempts detected
```
# 威胁狩猎
日志已导出到 BigQuery,用于:
- 大规模遥测分析
- 时间线重构
- 身份验证关联
- IAM 滥用调查
- 历史取证搜索
## 查询示例
```
SELECT
timestamp,
protopayload_auditlog.authenticationInfo.principalEmail,
protopayload_auditlog.methodName
FROM `PROJECT.logs.cloudaudit_googleapis_com_activity_*`
WHERE timestamp >= TIMESTAMP_SUB(CURRENT_TIMESTAMP(), INTERVAL 7 DAY)
```
# 事件响应工作流程
每个模拟事件都遵循结构化的调查方法:
1. 警报检测
2. 初始分诊
3. 范围确定
4. 时间线重构
5. 影响范围分析
6. 遏制措施
7. 修复建议
8. MITRE ATT&CK 映射
9. 事件记录
# 调查发现示例
| 发现 | 描述 |
|---|---|
| SSH 登录失败突发 | 针对 VM 的多次失败身份验证尝试 |
| 可疑 IAM 变更 | 未经授权的角色分配活动 |
| 权限提升 | 向低权限账户授予提升的权限 |
| 异常 API 活动 | 不寻常的 Compute Engine 管理操作 |
# 展示的技能
## 安全运营
- 警报分诊
- 事件调查
- 威胁检测
- 日志关联
- 安全监控
## 云安全
- GCP IAM 监控
- 审计日志记录
- 云遥测分析
- 权限提升检测
- 身份威胁分析
## 检测工程
- 基于日志的指标
- 警报策略创建
- 检测调优
- MITRE ATT&CK 映射
## 威胁狩猎
- BigQuery 调查
- 时间线重构
- 身份验证分析
- 云取证工作流程
# 仓库结构
```
.
├── architecture/
├── detection-rules/
├── incident-reports/
├── screenshots/
├── terraform/
├── queries/
├── scripts/
└── README.md
```
# 截图
## 攻击检测截图
## BigQuery 数据集截图
## 日志浏览器截图 #1
## 日志浏览器截图 #2
## 日志路由器 Sink 截图
标签:AMSI绕过, BigQuery, Cloudflare, Cloud Logging, GCP, Google Cloud Platform, IAM滥用检测, MITRE ATT&CK, Web报告查看器, 云基础设施, 告警分诊, 多线程, 威胁检测, 子域名变形, 安全信息与事件管理, 安全实验室, 安全运营中心, 审计日志, 搜索引擎爬取, 攻击模拟, 端点遥测, 网络安全, 网络映射, 计算引擎, 身份与访问管理, 隐私保护, 驱动签名利用