aliyev-s/soc-l1-detection-lab

# SOC L1 检测实验室 🔐 配备 Grafana 仪表板、Sigma 规则和 YARA 恶意软件检测的专业安全运营中心（SOC）L1 检测实验室。 ## 🎯 概述 本仓库为 SOC L1 分析师提供了一个完整的检测工程平台，用于练习威胁检测、事件响应和日志分析。 ### 功能 - ✅ 实时威胁检测（Grafana 仪表板） - ✅ Sigma 规则用于 SIEM 集成 - ✅ YARA 规则用于恶意软件检测 - ✅ 测试用例日志 - ✅ 日志解析脚本（Python） - ✅ 事件响应自动化 - ✅ Docker Compose 实现轻松部署 ## 📊 仪表板组件 ### Grafana 仪表板 1. **威胁概述** - 实时威胁监控 2. **日志分析** - 日志量和模式 3. **事件响应** - 告警跟踪和响应 4. **MITRE ATT&CK 映射** - 威胁框架映射 5. **误报分析** - 检测准确性 ## 🚀 快速入门 ### 前置条件 - Docker & Docker Compose - 最小 4GB RAM - 端口 3000（Grafana），9200（Elasticsearch），5000（API） ### 安装 ``` # 克隆仓库 git clone https://github.com/aliyev-s/soc-l1-detection-lab.git cd soc-l1-detection-lab # 启动服务 docker-compose up -d # 访问 Grafana # URL：http://localhost:3000 # 默认：admin / admin ``` ## 📁 目录结构 ``` soc-l1-detection-lab/ ├── README.md ├── docker-compose.yml ├── dashboard/ │ └── grafana/ │ ├── dashboards/ │ ├── provisioning/ │ └── plugins/ ├── sigma-rules/ │ ├── windows/ │ ├── linux/ │ └── application/ ├── yara-rules/ │ ├── malware/ │ └── suspicious/ ├── logs-samples/ ├── scripts/ │ ├── log-parser.py │ ├── sigma-validator.py │ └── alert-generator.sh ├── detection-queries/ │ ├── splunk/ │ ├── elk/ │ └── qradar/ └── documentation/ ├── getting-started.md └── sigma-tutorial.md ``` ## 🛠️ 技术 - **Grafana** - 可视化与监控 - **Elasticsearch** - 日志存储与索引 - **Kibana** - 日志探索 - **Prometheus** - 指标收集 - **Python** - 日志处理与分析 - **Sigma** - 检测规则 - **YARA** - 恶意软件检测 ## 📚 文档 - [入门指南](documentation/getting-started.md) - [Sigma 规则教程](documentation/sigma-tutorial.md) - [事件响应手册](documentation/incident-response-guide.md) - [日志分析指南](documentation/log-analysis-guide.md) ## 🎓 SOC L1 学习路径 1. **第 1-2 周**：日志分析基础 2. **第 3-4 周**：Sigma 规则与检测逻辑 3. **第 5-6 周**：事件响应流程 4. **第 7-8 周**：仪表板解读与告警 5. **第 9-10 周**：实战场景与案例分析 ## 🔍 样例用例 ### 暴力破解攻击检测 - 多次失败的认证尝试 - Sigma 规则：`windows/process_creation/proc_creation_win_rdp_brute_force.yml` ### 恶意软件检测 - 可疑进程执行 - YARA 规则：`yara-rules/malware/suspicious_process.yar` ### 横向移动检测 - 不寻常的网络连接 - Sigma 规则：`windows/network_connection/suspicious_outbound.yml` ## 📊 仪表板访问 启动后： ``` Grafana: http://localhost:3000 Kibana: http://localhost:5601 Elasticsearch API: http://localhost:9200 ``` ## 🤝 贡献 欢迎贡献！请参阅 [CONTRIBUTING.md](CONTRIBUTING.md) 获取指南。 ## 📝 许可证 MIT 许可证 - 查看 [LICENSE](LICENSE) 文件 ## 🔗 资源 - [Sigma 规则官方](https://github.com/SigmaHQ/sigma) - [MITRE ATT&CK 框架](https://attack.mitre.org) - [Grafana 文档](https://grafana.com/docs) - [Elasticsearch 指南](https://www.elastic.co/guide/) ## 👤 作者 aliyev-s - SOC 检测工程师 **最后更新**: 2026-05-30

标签：AMSI绕过, BurpSuite集成, Cloudflare, Docker, Grafana, Grafana 仪表盘, MITRE ATT&CK, NIDS, Python 脚本, SIEM 集成, Sigma 规则, YARA 规则, 不可变基础设施, 域名分析, 威胁检测, 安全运营中心, 安全防御评估, 容器化, 快速部署, 日志解析, 网络映射, 自动化响应, 自定义请求头, 证书伪造, 误报分析, 请求拦截, 越狱测试, 逆向工具