NocTuax/SOC-IR-Simulation-Lab

# 🛡️ SOC 事件响应模拟实验室 **作者:** Muhamad Yusril Malakaini **框架:** NIST SP 800-61 (计算机安全事件处理指南) **环境:** VirtualBox — 隔离实验室 🎯 概述 本项目是使用 **NIST SP 800-61** 框架在基于 **Wazuh SIEM** 和 **ELK Stack** 的分布式实验室环境中，对**事件响应**全周期的完整模拟。 每个场景模拟 SOC 中常见的真实安全事件，涵盖检测、分析、遏制、根除到恢复——并附有完整的 IOC 报告和教训总结文档。 ## 🏗️ 实验室架构 ``` ┌─────────────────────────────────────────────────────┐ │ LAB ENVIRONMENT │ │ │ │ ┌──────────────┐ ┌──────────────────────┐ │ │ │ Kali Linux │ ──────▶│ JH Target Server │ │ │ │ (Attacker) │ │ Ubuntu 20.04 LTS │ │ │ │ 192.168.1.29 │ │ 192.168.1.17 │ │ │ └──────────────┘ └──────────┬───────────┘ │ │ │ Wazuh Agent │ │ ▼ │ │ ┌──────────────────────┐ │ │ │ JH-serverWazuh │ │ │ │ Wazuh + ELK Stack │ │ │ │ Suricata IDS │ │ │ │ 192.168.1.18 │ │ │ └──────────────────────┘ │ └─────────────────────────────────────────────────────┘ ``` | 主机 | 角色 | 操作系统 | IP 地址 | |---|---|---|---| | Kali Linux | 攻击者 | Kali Rolling 2026 | 192.168.1.29 | | JH Target Server | 受害者 | Ubuntu 20.04 LTS | 192.168.1.17 | | JH-serverWazuh | SIEM | Ubuntu Server | 192.168.1.18 | ## 🔧 技术栈与工具 | 类别 | 工具 | |---|---| | SIEM | Wazuh v4.5.4 | | 日志管理 | Elasticsearch 7.17 + Kibana 7.17 | | IDS | Suricata 8.0.4 | | 端点监控 | Wazuh Agent + FIM + auditd | | 威胁情报 | VirusTotal API | | 攻击工具 | Nmap, Hydra, SQLMap, Metasploit | | 查询语言 | KQL (Kibana Query Language) | ## 📋 事件响应框架 — NIST SP 800-61 每个场景遵循以下 6 个阶段： ``` 1. PREPARATION → Siapkan tools, playbook, environment ↓ 2. IDENTIFICATION → Deteksi & konfirmasi insiden ↓ 3. CONTAINMENT → Isolasi ancaman (short & long term) ↓ 4. ERADICATION → Hapus malware & penyebab insiden ↓ 5. RECOVERY → Pulihkan sistem ke kondisi normal ↓ 6. LESSONS LEARNED → Dokumentasi & evaluasi ``` ## 🎯 模拟场景 | 编号 | 场景 | 攻击工具 | 状态 | |---|---|---|---| | 1 | SSH 暴力破解 + 未授权访问 | Hydra | 🔄 进行中 | | 2 | 恶意软件感染 + C2 通信 | 自定义脚本 | ⏳ 即将开始 | | 3 | 数据外泄 | Netcat | ⏳ 即将开始 | | 4 | Web 攻击 (SQL 注入 + LFI) | SQLMap | ⏳ 即将开始 | ## 🧠 MITRE ATT&CK 覆盖率 | 技术 | ATT&CK ID | 场景 | |---|---|---| | Brute Force | T1110 | 场景 1 | | Valid Accounts | T1078 | 场景 1 | | Command and Control | T1071 | 场景 2 | | Exfiltration Over C2 | T1041 | 场景 3 | | Exploit Public-Facing App | T1190 | 场景 4 | | OS Credential Dumping | T1003 | 场景 1 | ## 📁 项目结构 ``` SOC-IR-Simulation-Lab/ │ ├── README.md │ ├── architecture/ │ ├── lab-diagram.png │ └── network-topology.md │ ├── playbooks/ │ ├── brute-force-playbook.md │ ├── malware-c2-playbook.md │ ├── exfiltration-playbook.md │ └── web-attack-playbook.md │ ├── simulations/ │ ├── 01-brute-force-ssh/ │ │ ├── README.md │ │ ├── attack-steps.md │ │ ├── evidence/ │ │ │ ├── screenshots/ │ │ │ └── logs/ │ │ └── ir-report.md │ │ │ ├── 02-malware-c2/ │ ├── 03-data-exfiltration/ │ └── 04-web-attacks/ │ ├── ioc-reports/ │ ├── ioc-template.md │ └── [IOC report tiap skenario] │ ├── kql-queries/ │ └── useful-queries.md │ └── lessons-learned/ └── summary.md ``` ## 🔍 使用的 KQL 查询 ``` # 搜索所有 brute force attempts rule.description: "sshd: brute force" # 搜索来自特定 IP 的 login agent.ip: "192.168.1.29" # 搜索 alert level 高 rule.level: >= 10 # 搜索时间范围内的 event @timestamp >= "2026-05-01" AND @timestamp <= "2026-05-31" # 搜索 port scanning rule.description: *scan* AND rule.level: >= 6 ``` ## 📊 活跃检测规则 | 规则 ID | 描述 | 级别 | 响应 | |---|---|---|---| | 100200 | 检测到 Nmap 脚本引擎 | 12 | 自动封禁 IP | | 5710 | SSH 暴力破解 | 10 | 自动封禁 IP | | 87105 | VirusTotal 检测到恶意软件 | 12 | 自动删除文件 | | 100250 | 检测到命令注入 | 12 | 告警 | ## ⚠️ 免责声明 ## 👨‍💻 作者 **Muhamad Yusril Malakaini** SOC 分析师（培训中）| 第4学期 🔗 **GitHub:** [NocTuax](https://github.com/NocTuax) 🔗 **上一个项目:** [Distributed-SIEM-Wazuh-ELK](https://github.com/NocTuax/Distributed-SIEM-Wazuh-ELK)

标签：BurpSuite集成, CTI, ELK Stack, IOC报告, Metaprompt, NIST SP 800-61, Suricata IDS, Wazuh, 安全运营中心, 库, 应急响应, 模拟实验室, 网络安全, 网络映射, 越狱测试, 速率限制, 隐私保护