sonaliviniramesh-web/soc-monitoring-threat-detection-lab

# SOC 监控与威胁检测实验室 本项目展示了使用 Splunk Enterprise、Sysmon、Windows 事件日志和 Splunk 通用转发器遥测来开发 SOC 监控和威胁检测实验室的过程。 实验室旨在模拟实用的蓝队监控工作流程，包括： - 终端遥测收集 - 检测工程 - PowerShell 滥用监控 - LOLBin 检测 - 告警创建 - 事件调查 - 进程血缘分析 - MITRE ATT&CK 映射 项目还涉及在开发过程中解决真实遥测摄取和 Sysmon 转发问题。 # 使用的技术 - Splunk Enterprise - Splunk 通用转发器 - Sysmon - Windows 事件日志 - PowerShell - SPL（搜索处理语言） # 实验室架构 Windows 终端 → Sysmon → 通用转发器 → Splunk Enterprise # 关键检测用例 ## 暴力破解检测 使用 Windows 安全事件 ID 4625 检测重复的失败身份验证尝试。 ## PowerShell 滥用检测 检测使用执行策略绕过参数的可疑 PowerShell 执行。 ## LOLBin 检测 使用 Sysmon 进程创建遥测检测可疑的 `mshta.exe` 执行。 ## 进程血缘调查 使用 Sysmon 事件 ID 1 遥测分析父进程和子进程关系。 # 参考的 MITRE ATT&CK 技术列表 | 技术 | 描述 | |---|---| | T1110 | 暴力破解 | | T1218 | 签名二进制代理执行 | # 仓库结构 ``` Screenshots/ ├── Detections/ ├── Investigations/ ├── Dashboards/ └── Telemetry/ SPL-Queries/ Investigation-Reports/ Architecture/ ``` # 值得注意的学习领域 本项目最有价值的部分之一是解决涉及 Sysmon 转发和影响 Splunk 通用转发器的 Windows 服务权限的遥测摄取问题。 项目有助于建立对以下内容的实际理解： - Windows 遥测收集 - Sysmon 进程监控 - Splunk 摄取故障排除 - 检测工程基础 - SOC 调查工作流程 # 截图 仓库包含： - 检测截图 - 告警证据 - Sysmon 遥测可见性 - 父子进程调查 - DFIR 风格调查笔记 - 仪表板可视化 # 未来改进 实验室可能的未来改进包括： - 编码 PowerShell 检测 - 持久性监控 - 注册表更改检测 - 多终端遥测 - 额外的 Sysmon 规则

标签：AI合规, AMSI绕过, Cloudflare, IPv6, MITRE ATT&CK, PowerShell, SPL 语言, Sysmon, Windows 事件日志, 事件调查, 威胁检测, 安全事件, 安全响应, 安全学习, 安全实践, 安全报告, 安全架构, 安全运营中心, 攻击技术, 数据转发, 知识库安全, 端点监控, 管理员页面发现, 网络映射, 进程链分析