mvahora2023/mini-soc-lab
GitHub: mvahora2023/mini-soc-lab
mini-soc-lab是一个基于真实攻击场景的检测工程组合,提供Sigma规则、MITRE ATT&CK覆盖和事件响应剧本。
Stars: 0 | Forks: 0
# mini-soc-lab
围绕三个真实世界攻击场景构建的检测工程组合。每个用例包括模拟日志数据、Sigma检测规则、结构化分级报告、事件响应剧本和MITRE ATT&CK覆盖映射。
## 用例
| ID | 技术 | MITRE ID | 状态 |
|---|---|---|---|
| BF-001 | 爆破力 - 密码喷射 | T1110 / T1110.001 / T1110.003 | 已检测 |
| PH-001 | 钓鱼 - 针对性钓鱼附件 | T1566 / T1566.001 | 已检测 |
| PS-001 | PowerShell 执行 + 伪装 | T1059.001 / T1027 / T1105 / T1087 / T1482 | 已检测 |
## 仓库结构
```
mini-soc-lab/
├── detections/
│ ├── brute_force_windows/
│ │ ├── sigma_rule.yml — Sigma detection rule (T1110)
│ │ ├── detection.md — Detection logic and tuning notes
│ │ ├── background.md — Attack technique background
│ │ ├── alert.json — Sample alert object
│ │ └── simulated_logs.log — Synthetic Windows Security event log
│ ├── phishing_email/
│ │ ├── sigma_rule.yml — Sigma detection rule (T1566)
│ │ ├── detection.md
│ │ ├── background.md
│ │ ├── alert.json
│ │ └── simulated_logs.log
│ └── suspicious_powershell/
│ ├── sigma_rule.yml — Sigma detection rule (T1059.001 + T1027)
│ ├── detection.md
│ ├── background.md
│ ├── alert.json
│ └── simulated_logs.log
├── triage-reports/
│ ├── brute_force_001.md — BF-001 triage report
│ ├── phishing_001.md — PH-001 triage report
│ ├── powershell_001.md — PS-001 triage report
│ └── ti_report_bf001.md — Threat intelligence report (BF-001)
├── playbooks/
│ ├── brute_force_playbook.md — IR playbook for credential brute force
│ └── phishing_playbook.md — IR playbook for phishing incidents
├── coverage/
│ ├── MITRE_Coverage_Matrix.md — Coverage map with 9 identified gaps
│ └── navigator_layer.json — ATT&CK Navigator layer (import at attack.mitre.org)
└── docs/
├── SIEM_QUERIES.md — Splunk SPL query library for all three use cases
├── ATTACK_CHAIN_RECONSTRUCTION.md — Kill chain timelines for all three attacks
├── DATA_SANITIZATION_POLICY.md
├── EVIDENCE_CHECKLIST.md
└── PROJECT_SCOPE.md
```
## 检测规则
每个用例都附带一个有效的[Sigma](https://github.com/SigmaHQ/sigma)规则,可供转换为您的目标SIEM平台。
```
# 使用 sigma-cli 转换为 Splunk SPL
sigma convert -t splunk detections/brute_force_windows/sigma_rule.yml
# 转换为 Microsoft Sentinel KQL
sigma convert -t microsoft365defender detections/brute_force_windows/sigma_rule.yml
```
## 分级报告
分级报告遵循结构化格式:检测源、严重性、五W+如何分析、入侵指标、遏制措施和事件后建议。BF-001报告包括一个配套的[威胁情报报告](triage-reports/ti_report_bf001.md),其中包含TTP分析、对手画像和IoC持久性评级。
## MITRE ATT&CK 覆盖范围
[覆盖矩阵](coverage/MITRE_Coverage_Matrix.md)记录了3个已检测技术以及9个已识别的差距和修复优先级。直接导入[navigator_layer.json](coverage/navigator_layer.json)到[ATT&CK Navigator](https://mitre-attack.github.io/attack-navigator/)以可视化覆盖范围。
**已识别的差距(优先级顺序):** T1486(勒索软件)、T1003(凭证泄露)、T1078(有效账户)、T1562(防御规避)、T1190(针对公共面向的利用)、T1055(进程注入)、T1071(通过Web的C2)、T1053(计划任务)、T1547(启动持久性)
## 引用的关键事件ID
| 事件ID | 日志 | 描述 |
|---|---|---|
| 4625 | 安全 | 失败的登录 — 子状态 0xC000006A(密码错误) |
| 4771 | 安全 | Kerberos预身份验证失败 |
| 4104 | PowerShell | 脚本块日志记录 — 捕获编码/伪装的脚本 |
| 4624 | 安全 | 成功的登录 — 用于跳转检测 |
| 4688 | 安全 | 进程创建 — 用于子进程分析 |
## 许可证
[MIT](LICENSE) — 有关详细信息,请参阅LICENSE文件。
标签:子域枚举, 防御加固