mmrsd4/Automated-SOC-Detection-and-Threat-Triage-Platform

GitHub: mmrsd4/Automated-SOC-Detection-and-Threat-Triage-Platform

这是一个自动化 SOC 检测与威胁分类平台，用于模拟企业安全运营环境进行教育和防御性测试。

Stars: 0 | Forks: 0

# 自动化 SOC 检测与威胁分类平台 ## 概述本项目模拟了一个企业级安全运营中心环境，专注于集中日志收集、攻击检测、自动化威胁分类和事件响应工作流。该实验环境整合了： - Splunk Enterprise - Wazuh - Sysmon - Python 自动化 - VirusTotal API - AbuseIPDB API - 端点遥测监控 - 检测工程 - 攻击模拟 - IOC 富化 - 告警分类 - 事件报告 - 威胁情报集成 # 实验环境 | 系统 | 角色 | | Ubuntu 服务器 | 中央 SOC 服务器 | | Windows 10 | 受监控端点 | | Kali Linux | 攻击模拟系统 | # 技术栈 # SOC 工作流 ## 1. 搭建实验环境 ### Ubuntu 服务器 ![Ubuntu](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/db549f808e103125.png) ### Windows 端点 ![Windows](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/2c9f1a455a103126.png) ### Kali Linux ![Kali](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/73de48fdb5103127.png) # 2. 中央 SOC 服务器配置 ## Splunk Enterprise 运行状态 ![Splunk](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b4a97c93df103128.png) # 3. Windows 端点遥测收集 ## Sysmon 日志生成 ![Sysmon](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/24374ce9d2103129.png) ## Windows 日志转发至 Splunk ![Windows Logs](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/bf7a944ad3103130.png) # 4. 攻击模拟 ## Nmap 侦察扫描 ![Nmap](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/53f25f88a6103131.png) ## Splunk 检测 Nmap 活动 ![Nmap Detection](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/433d8ebed3103131.png) ## Hydra SMB 暴力破解攻击 ![Hydra](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b8ae2e1f87103132.png) ## 检测到的登录失败事件 ![Failed Logins](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/5ea4203f87103133.png) ## 登录失败 SPL 查询结果 ![SPL Query](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f2da86a140103134.png) ## 登录失败告警创建 ![Alert](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/094cd60238103134.png) ## 可疑 PowerShell 执行 ![PowerShell](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/86f4bdc806103135.png) ## Splunk PowerShell 检测 ![PowerShell Detection](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/caac4e44b0103136.png) ## 编码命令告警检测 ![Encoded Alert](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/9d971a533c103136.png) # 5. SOC 仪表板与告警 ## 完整 SOC 仪表板 ![SOC Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/6ed7620ad7103137.png) ## Splunk 告警配置 ![Splunk Alerts](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/26d25a2c4f103138.png) # 6. Wazuh 安全监控 ## 活跃的 Wazuh Agent ![Wazuh Agent](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/29254fffdb103138.png) ## Wazuh 仪表板 ![Wazuh Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/c513e5420a103139.png) ## Wazuh 安全事件 ![Wazuh Event](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/0c7062dd16103140.png) # 7. 自动化 IOC 富化与威胁分类 ## Python IOC 富化自动化 ![IOC Automation](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/990d1dec3f103140.png) ## IOC 富化结果 ![IOC Results](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/993d3e4a8e103141.png) ## JSON 事件报告生成 ![JSON Report](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/79907fffcc103142.png) ## 自动化事件报告 ![Incident Report](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/e0e43a2bc9103142.png) ## Discord 告警通知 ![Discord Alerts](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/58a9bbbb89103143.png) ## 包含 MITRE ATT&CK ID 的事件报告 ![ATTACK Mapping](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/0c24d93a2a103144.png) # 检测工程 ## 关键检测用例 ### 暴力破解检测 - Windows 事件 ID 4625 - 认证异常监控 - 登录失败阈值告警 ### PowerShell 滥用检测 - 编码 PowerShell 命令 - 可疑进程执行 - 进程创建监控 ### 侦察检测 - Nmap 扫描活动 - 端口扫描行为分析 - 网络遥测调查 # 自动化功能 ## IOC 富化管道集成的 API： - VirusTotal - AbuseIPDB 自动化能力： - IOC 信誉分析 - 威胁严重性分类 - 自动化 JSON 报告 - Discord 通知 - 事件富化工作流 # MITRE ATT&CK 映射 | 技术 | ATT&CK ID | | PowerShell | T1059.001 | | 暴力破解 | T1110 | | 网络服务扫描 | T1046 | | 命令和脚本解释器 | T1059 | # 项目结构 ``` Automated-SOC-Platform/ │ ├── README.md ├── LICENSE ├── requirements.txt ├── .gitignore │ ├── architecture/ ├── detections/ ├── dashboards/ ├── attack_simulations/ ├── automation/ ├── playbooks/ ├── rules/ ├── scripts/ ├── reports/ ├── screenshots/ └── mitre_mapping/ ``` # 检测查询示例 ``` index=main EventCode=4625 | stats count by Account_Name, Source_Network_Address | where count > 5 ``` # 免责声明本项目在隔离的实验环境中构建，仅用于教育和防御性网络安全目的。 # 许可证本项目根据 MIT 许可证授权。

标签：AbuseIPDB API, AMSI绕过, asyncio, ATT&CK 框架, IOC 丰富, PFX证书, PowerShell 监控, Python 自动化, SOC 实验室, Sysmon, Ubuntu 服务器, VirusTotal API, Wazuh, Windows 端点, 事件报告, 免杀技术, 威胁分类, 威胁情报, 威胁检测, 安全运营中心, 开发者工具, 插件系统, 攻击检测, 攻击模拟, 暴力破解检测, 端点监控, 结构化查询, 网络安全, 网络映射, 自动化安全, 警报分类, 逆向工具, 隐私保护, 集中式日志收集, 驱动签名利用