ale32ort/ai-soc-platform

# AI 辅助 SOC 平台 基于树莓派 5 从零构建的生产级安全运营平台。旨在展示真实世界的 SOC 能力，包括多传感器网络监控、端点检测工程、行为威胁狩猎，以及具备自动化 MITRE ATT&CK 映射的 AI 辅助告警分诊。 ## 平台技术栈 ### 核心基础设施 - Raspberry Pi 5 8GB — SOC 服务器 - Elasticsearch + Kibana — SIEM 后端与可视化 - Suricata IDS — 网络层检测与告警 - Filebeat — Linux 日志传输 - Zeek — 网络协议分析与流量日志 ### 端点检测 - Sysmon（SwiftOnSecurity 配置）— 端点行为遥测 - Winlogbeat — Windows 日志传输与安全事件转发 - Windows Security Auditing — 高级审计策略配置 ### 网络传感器 - Alfa AWUS036ACS — 专用无线监控适配器 - TP-Link TL-SG108E — 支持端口镜像的管理型交换机 ### 攻击模拟 - Kali Linux VM — 攻击模拟环境 - Windows 主机 — 被监控的端点目标 ## 检测架构 — 三层体系 ### 第 1 层 — 无线传感器 - Alfa 适配器处于监听模式 - 被动 802.11 帧捕获 - 信标帧、探测请求、探测响应 - 无线设备追踪与可见性 ### 第 2 层 — 网络 IDS - Suricata 监控所有交换机镜像流量 - 基于签名和异常的检测 - 通过 Filebeat 将告警输出到 Elasticsearch - Zeek 协议分析与连接日志 ### 第 3 — 端点 EDR - Sysmon 事件 ID：1、3、10、11、12、13 - Windows 安全事件 ID：4624、4625、4688、4698、4720、7045 - PowerShell 执行日志 - LOLBin 活动监控 - 进程创建链可见性 - 持久化机制检测 ``` Wireless (Alfa) ─────────────────────┐ ▼ Network Traffic → Switch (mirror) → Suricata → eve.json → Filebeat ─┐ ▼ │ Windows Endpoint → Sysmon + Winlogbeat ──────────────────────────────┤ ▼ ▼ Elasticsearch │ ▼ Kibana │ ┌────────────────┤ ▼ ▼ Executive Dashboard Analyst Dashboard ``` ## 当前能力 ### 网络检测 - 多传感器监控：有线 IDS + 无线 802.11 捕获 - 行为威胁狩猎：信标检测、横向移动、数据外泄、DNS 异常 - 实时 IDS 告警关联与签名监控 - 地理流量可视化与外部连接追踪 - 协议分布分析与异常检测 - SSH 认证监控与暴力破解检测 ### 端点检测 - 进程创建与父子链分析 - LOLBin 滥用检测：powershell.exe、cmd.exe、rundll32.exe、certutil.exe、regsvr32.exe、mshta.exe、wmic.exe - 编码 PowerShell 检测与命令行可见性 - 持久化机制监控：计划任务、服务安装、新账户创建 - 认证成功与失败追踪 - Windows 安全审计事件接入 ### 仪表板设计 平台同时服务于两类不同受众： **高管概览** — 面向安全领导层的 KPI 面板 - DNS 请求、外部连接、总网络流量 - 总告警数、潜在信标活动 - 唯一境外国家数、活跃源主机 - 被攻击资产、实时事件计数、观察到的协议 **分析师调查** — 实时调查工作流 - 具备完整字段可见性的实时网络事件表 - SSH 活动监控器 - 告警源与威胁签名追踪 - 端点进程与认证表 - 支持跳转调查的分析界面 ## 威胁狩猎覆盖范围 ### 网络 — 按 MITRE ATT&CK 战术分类 | 战术 | 技术 | 检测 | |------|------|------| | Reconnaissance | T1595 | 端口扫描检测、罕见外部连接 | | Discovery | T1046 | 网络服务扫描模式 | | Lateral Movement | T1021 | 东西向流量、罕见内部端口 | | Command & Control | T1071 | 信标检测、非标准 TCP | | Exfiltration | T1041 | 字节量分析、外部数据传输 | | Credential Access | T1110 | SSH 暴力破解、认证失败 | ### 端点 — 按 MITRE ATT&CK 战术分类 | 战术 | 技术 | 检测 | |------|------|------| | Execution | T1059.001 | 编码 PowerShell、命令行日志 | | Execution | T1218 | LOLBin 滥用监控 | | Persistence | T1053.005 | 计划任务创建（事件 4698） | | Persistence | T1543.003 | 服务安装（事件 7045） | | Persistence | T1136.001 | 新账户创建（事件 4720） | | Credential Access | T1003 | LSASS 访问（Sysmon EID 10） | | Defense Evasion | T1055 | 进程注入检测 | ## 每日构建日志 | 天数 | 重点 | 关键成果 | |------|------|---------| | 1 | 基础设施 | 从零构建完整 SOC 管道 | | 2 | 传感器 | 无线监控、专业仪表板 | | 3 | 故障排除 | SSL/TLS 修复、Kibana 恢复 | | 4 | 验证 | 接口路由修复、管道确认 | | 5 | 威胁狩猎 | 行为分析平台构建 | | 6 | 高管层 | 双受众仪表板架构 | | 7 | 检测调优 | KQL 降噪、信号优化 | | 8 | 端点层 | Sysmon + Winlogbeat、三层检测 | | 9 | EDR 可见性 | LOLBin 检测、攻击者手法模拟 | ## 已模拟并检测到的攻击者手法 - Nmap 侦察扫描 - SSH 暴力破解尝试 - 编码 PowerShell 执行 - 计划任务持久化创建 - LOLBin 调用模式 - 可疑进程链执行 - 网络信标模式 - Living-Off-The-Land 二进制滥用 每次模拟均验证了检测平台能在 Kibana 仪表板中正确呈现该技术。 ## 下一步计划 ### 第 10 天 — Elastic 检测规则 - 具备严重性分类的正式告警规则 - 编码 PowerShell 规则 - LOLBin 滥用检测规则 - 暴力破解阈值告警 - 持久化机制告警 - 所有规则均标注 MITRE ATT&CK 标签 ### 第 11 天 — Claude AI 分诊引擎 - Python 脚本轮询 Elasticsearch 获取告警 - Suricata 网络告警 + Sysmon 端点告警 - Claude API 结合完整上下文分析每条告警 - 返回：判定结论、ATT&CK 映射、响应建议 - Flask 仪表板实时展示 AI 分诊结果 ### 第 12 天 — 作品集发布 - 演示视频：完整攻击到分诊的杀伤链录制 - GitHub 优化与最终文档 ## 未来路线图 — Agentic AI 演进 ### 第二阶段 — 自主调查 Agent 将单次 Claude API 调用替换为多步骤自主调查 Agent： - 自动 VirusTotal 哈希查询 - 威胁情报源富化 - 自动 SIEM 跳转与主机历史关联 - 跨主机事件关联 - 置信度评分的调查报告 ## 展示的核心概念 - 多传感器 SOC 架构设计 - 跨网络层和端点层的检测工程 - SIEM 管道构建与故障排除 - 行为威胁狩猎方法论 - 通过 KQL 调优实现信噪比优化 - 无需商业工具即可实现 EDR 级端点可见性 - 面向高管与分析师的双受众仪表板设计 - 攻击者手法模拟与检测验证 - Living-Off-The-Land 二进制检测理念 - AI 辅助安全运营工作流设计

标签：802.11帧捕获, AI辅助, Cloudflare, EDR, Elasticsearch, Filebeat, IP 地址批量处理, Metaprompt, MITRE ATT&CK, PE 加载器, PowerShell日志, Raspberry Pi 5, Rootkit, Suricata, Sysmon, Winlogbeat, Zeek, 告警分流, 多传感器, 安全开源项目, 安全运营中心, 开源安全工具, 持久化检测, 无线安全, 无线监控, 树莓派安全平台, 现代安全运营, 端口镜像, 终端检测, 网络安全, 网络映射, 脆弱性评估, 越狱测试, 进程链, 逆向工具, 逆向工程平台, 隐私保护