nicktrusere/SOC-Attack-Detection-Lab

# SOC 攻击检测实验室 本项目模拟真实的网络攻击场景，并展示安全运营中心（SOC）如何使用 Splunk SIEM 进行检测、分析和响应。 ## 核心能力 - 网络侦察检测 - 暴力破解攻击检测 - 漏洞利用监控（EternalBlue） - 使用 Sysmon 和 Linux 日志进行日志分析 - SIEM 告警与仪表盘 - 对标 MITRE ATT&CK 框架 ## 展示的技能 - 网络安全 - 威胁检测 - SIEM (Splunk) - 事件响应 - 日志分析 - 网络攻击模拟 - 架构设计 攻击者（Kali Linux） ↓ 目标机器（Windows + Ubuntu） ↓ Sysmon / Linux 日志 ↓ Splunk 转发器 ↓ Splunk SIEM ↓ 检测 → 告警 → 仪表盘 **攻击模拟（红队侧）** 3.1 侦察（Nmap） nmap -sS -sV 192.168.56.0/24 发生了什么： 识别出开放端口（SSH、SMB） 绘制了目标环境图 3.2 暴力破解（Hydra） hydra -l admin -P passwords.txt ssh://192.168.56.10 结果： 使用弱凭证成功登录 3.3 漏洞利用（Metasploit） use exploit/windows/smb/ms17_010_eternalblue run 结果： 获得远程 Shell 访问权限（Meterpreter 会话） **检测工程（蓝队）** 🔍 检测 1：端口扫描 index=* EventCode=3 | stats count by src_ip 洞察： 一个 IP 正在扫描多个主机 🔍 检测 2：暴力破解 index=* "failed password" | stats count by src_ip 🔍 检测 3：可疑进程 index=* EventCode=1 | search powershell OR cmd **告警** 示例规则： 触发条件：1 分钟内超过 20 次登录失败 操作：向 SOC 分析师发出告警 **仪表盘** 包含以下内容的截图： 面板： - 最频繁攻击的 IP - 登录失败趋势 - 进程活动 **MITRE ATT&CK 映射** 已对标 MITRE ATT&CK | 战术 | 技术 | ID | |------|------|-----| | 侦察 | 网络扫描 | T1046 | | 凭证访问 | 暴力破解 | T1110 | | 执行 | 命令 Shell | T1059 | | 横向移动 | SMB | T1021 | **事件报告** 创建： report/incident_report.md 结构： - **概要** - 检测到来自 192.168.56.x 的攻击 - **时间线** - 10:01 → 检测到端口扫描 - 10:05 → 暴力破解攻击 - 10:10 → 漏洞利用尝试 - **影响** - 实现了未授权访问 - **响应** - 触发告警 - 执行了调查 - **建议** - 强制使用强密码 - 修补 SMB 漏洞 **本项目的亮点** 展示的能力： - 红队（攻击） - 蓝队（检测） - SIEM 使用 - 日志分析 - MITRE 映射 - ✅ 事件报告

标签：AMSI绕过, BurpSuite集成, Cloudflare, CTI, MITRE ATT&CK, PE 加载器, Sysmon, 仪表板, 免杀技术, 威胁情报, 威胁检测, 安全信息与事件管理, 安全运营中心, 开发者工具, 插件系统, 搜索引擎爬取, 攻击模拟, 数据展示, 暴力破解攻击, 暴力破解检测, 漏洞利用 (EternalBlue), 漏洞利用分析, 漏洞利用监控, 端口扫描检测, 红队, 网络安全, 网络映射, 警报系统, 隐私保护, 驱动签名利用