christianchkwuka/SOC-Detection-Incident-Response-Lab-

# SOC Detection & Incident Response Lab ## Überblick Dieses Projekt dokumentiert den Aufbau eines praxisnahen SOC-Labs mit Wazuh, Sysmon, Windows Server und Kali Linux. Ziel ist es, typische Angriffsszenarien wie fehlgeschlagene RDP-Anmeldungen, erfolgreiche Anmeldungen nach mehreren Fehlversuchen, verdächtige Prozesse und PowerShell-Aktivitäten zu erkennen, zu analysieren und im Rahmen eines Incident-Response-Prozesses zu dokumentieren. ## Ziel des Projekts Das Ziel dieses Labs ist es, praktische Fähigkeiten in den Bereichen SIEM-Monitoring, Windows-Event-Analyse, Sysmon-Telemetrie, Angriffssimulation, Threat Detection und Incident Response aufzubauen und nachvollziehbar zu dokumentieren. ## Verwendete Systeme - Kali Linux als Angreifer-System - Windows Server als Zielsystem - Wazuh Agent auf Windows Server - Sysmon für erweiterte Endpoint-Telemetrie - Ubuntu Server als Wazuh Manager - Wazuh Dashboard zur Analyse und Visualisierung - pfSense optional für Firewall- und Netzwerksegmentierung ## Demonstrierte Fähigkeiten - Aufbau eines SOC-Labs - Integration von Windows Server in Wazuh - Installation und Nutzung von Sysmon - Analyse von Windows Security Events - Erkennung von Event ID 4625 und 4624 - RDP-Brute-Force-Simulation - Untersuchung verdächtiger Prozesse - MITRE ATT&CK Mapping - Incident-Response-Dokumentation - Risikobewertung und Kontrollmapping nach ISO 27001, NIST und BSI ## Angriffsszenarien 1. Fehlgeschlagene RDP-Anmeldung – Event ID 4625 2. Erfolgreiche RDP-Anmeldung – Event ID 4624 3. Mehrere fehlgeschlagene Anmeldungen als Brute-Force-Indikator 4. Sysmon-Erkennung verdächtiger Prozesse 5. PowerShell-Aktivitätsüberwachung 6. Optional: pfSense Firewall-Regel und Netzwerksegmentierung ## Ergebnis Das Lab zeigt, wie sicherheitsrelevante Ereignisse auf einem Windows Server erzeugt, durch Sysmon und den Wazuh Agent erfasst, an den Wazuh Manager weitergeleitet und im Wazuh Dashboard analysiert werden.