TomPi22/Hybrid-SOC-BlueTeam-Ops

# 混合-SOC-蓝队-操作 （建设中） 这是一个专注于混合SOC操作、威胁狩猎（KQL）、事件响应和MITRE ATT&CK映射的生产级蓝队作品集。 # 混合SOC蓝队操作与事件响应 一个生产级作品集，展示跨混合和Azure云环境的主动威胁监控、日志关联、事件分类和剧本自动化。旨在直接映射到现代安全运营中心（SOC）工作流和MITRE ATT&CK框架。 ## 🗺️ 战略路线图与SOC能力索引 📁 **阶段1：日志分析与事件关联（Windows、Linux、防火墙）** * [实验1：取证日志分析 - 调查Linux加固失败与SSH暴力破解](#Lab1) * [实验2：Windows事件ID审计 - 追踪权限提升与远程执行](#) 📁 **阶段2：SIEM操作与高级威胁狩猎（Microsoft Sentinel与KQL）** * [实验3：现代威胁狩猎 - 通过KQL检测云钓鱼与横向移动](#) * [实验4：MITRE ATT&CK映射 - 为勒索软件检测开发自定义分析规则](#) 📁 **阶段3：终端防御与XDR集成（Wazuh / Defender for Endpoint）** * [实验5：开源EDR部署 - 部署Wazuh监控基于主机的入侵指标（IoCs）](#) 📁 **阶段4：SOAR自动化与事件响应剧本** * [实验6：自动化隔离与分类 - 编排Logic Apps实现实时威胁缓解](#) 📁 **阶段5：运营报告与安全指标（SOC治理）** * [实验7：网络威胁情报（CTI）与关键中断事件的高管报告](#) ## 🛠️ 技术栈与SOC工具蓝图 * **SIEM / 数据分析：** Microsoft Sentinel、Log Analytics工作区、KQL（Kusto查询语言）。 * **EDR / XDR平台：** Wazuh（开源EDR）、Microsoft Defender for Cloud / Endpoint。 * **网络与数据摄入控制：** Syslog、Azure活动日志、基于主机的防火墙（UFW/Windows防火墙）。 * **框架与映射：** MITRE ATT&CK、NIST计算机安全事件处理指南（SP 800-61 Rev. 2）、GDPR第32条合规性。 ## 取证日志分析 ## 实验1：取证日志分析 - Linux SSH暴力破解调查 **目标：** 模拟攻击者尝试通过SSH暴力破解入侵Linux服务器，捕获产生的遥测数据，并执行取证日志解析以提取事件遏制所需的入侵指标（IoCs）。 **SOC分析师级别：** L1 / L2 **框架：** MITRE ATT&CK * 战术：凭证访问（TA0006） * 技术：暴力破解：密码猜测（T1110.001） ### 1. 事件模拟（红队操作） 为生成可操作的遥测数据，针对Linux运维服务器（Ubuntu）模拟了一次定向暴力破解攻击。通过TCP端口22（SSH），使用常见的默认管理用户名（`admin`、`root`、`hacker`）执行了多次身份验证尝试。 ### 2. 威胁分类与日志解析（蓝队操作） 作为SOC分析师，主要目标是通过分析系统安全日志来确定攻击范围。 在基于Debian的环境中，身份验证事件会写入 `/var/log/auth.log`。 **命令行取证：** 为过滤噪音并提取确切的威胁行为者IP地址和攻击频率，执行了以下解析流程： `sudo grep "Failed password" /var/log/auth.log | awk '{print $(NF-3)}' | sort | uniq -c | sort -nr`

标签：Azure, BurpSuite集成, Cloudflare, EDR, KQL, Microsoft Sentinel, MITRE ATT&CK, PB级数据处理, PE 加载器, playbook, SOAR, Wazuh, 入侵防御系统, 威胁情报, 威胁猎捕, 安全运维, 安全运营中心, 开发者工具, 日志关联, 检测规则, 混合SOC, 生产级, 端点防御, 网络安全, 网络映射, 网络调试, 网络资产发现, 脆弱性评估, 自动化, 运营报告, 隐私保护