ketsomp/bta-soc-architecture
GitHub: ketsomp/bta-soc-architecture
BTA SOC 模拟平台:模拟都市交通管理局安全场景,提升SOC实战能力。
Stars: 0 | Forks: 0
# BTA SOC 模拟平台
## 概述
**BTA SOC 模拟平台**是一个围绕虚构的都市交通管理局构建的网络安全模拟环境,该管理局负责公共交通服务、车队运营、乘客票务和支付处理。
该项目将 SOC 概念、威胁建模、检测工程、事件响应和 SIEM 监控结合到一个统一平台中,允许从现实业务工作流程中生成安全场景,并通过集中日志分析进行调查。
该平台不是分析静态数据集,而是从模拟的运营系统中生成安全遥测数据,并将事件转发到 Graylog 进行监控和调查。
该项目是针对以下课程内容开发的:
- 安全运营中心 (SOC)
- 数字取证和事件响应 (DFIR)
- 威胁情报
- 检测工程
- 事件响应
- SIEM 架构
- 威胁狩猎
## 场景
模拟组织 **班加罗尔交通管理局 (BTA)** 运营:
- 500 辆公共汽车
- 20 列地铁列车
- 联系式支付终端
- 基于 GPS 的车队跟踪
- 乘客票务系统
- 车队管理服务
- 行政监控基础设施
该组织严重依赖 IT 和运营技术系统来维护交通服务、收取车费和确保乘客安全。
该平台模拟针对这些系统的威胁,并展示了现代 SOC 如何识别、调查、遏制和从安全事件中恢复。
## 功能
### 车队管理模拟
- 车队监控工作流程
- 路线和车辆跟踪
- 基于 GPS 的位置服务
- 车辆查找和搜索功能
- GPS 欺骗攻击模拟
- 幽灵公交车场景生成
### 乘客票务平台
- 票务预订工作流程
- 支付处理模拟
- 交易生成
- 乘客活动跟踪
- 支付终端遥测
### 管理控制台
- 票务调查界面
- 运营仪表板
- 身份验证监控练习
- 安全场景管理
- 威胁模拟控制
### 威胁模拟
该平台支持多个安全场景,旨在模拟真实的攻击模式:
#### DNS 隧道
模拟来自支付基础设施的 DNS 请求发起的隐蔽数据泄露。
#### GPS 欺骗
生成操纵的车辆位置数据,导致车队跟踪不一致和幽灵车辆行为。
#### 支付终端侧写
模拟受损害的支付终端生成可疑交易活动和数据泄露事件。
#### 身份验证滥用
生成适合暴力破解检测和凭证滥用调查的登录序列。
#### 勒索软件指标
生成与持久机制、可疑服务创建和恶意执行模式相关的安全事件。
## 安全监控
该平台与 Graylog 集成,提供集中监控和调查功能。
生成的事件包括:
- 身份验证活动
- 票务操作
- 车队查询
- 支付交易
- DNS 请求
- GPS 遥测
- 行政操作
- 安全场景指标
分析师可以调查:
- 身份验证异常
- DNS 隧道尝试
- GPS 完整性违规
- 支付终端妥协
- 可疑服务安装
- 可能的勒索软件行为
## 截图
### 车队管理管理控制台
用于管理威胁模拟和安全场景的行政仪表板。
### 票务调查控制台
允许分析师搜索票务活动和生成运营遥测数据的调查界面。
### 乘客票务预订
面向客户的预订工作流程,生成交易和支付遥测数据。
### Graylog 调查仪表板
用于调查生成事件和安全警报的集中日志监控环境。
## 架构
### 前端
- React
- JavaScript
- REST API 集成
### 后端
- FastAPI
- Python
### 监控堆栈
- Graylog
- 结构化 JSON 日志
### 安全组件
- 威胁模拟引擎
- 事件生成管道
- 检测工作流程
- 调查控制台
- SOC 场景框架
## 示例安全事件
该平台生成逼真的安全遥测数据,包括:
### DNS 隧道
```
{
"event_source": "Firewall NetFlow",
"destination_port": 53,
"destination_domain": "attacker-c2-server.com",
"payload_length": 145
}
```
### 可疑服务安装
```
{
"event_id": 7045,
"service_name": "SysUpdater",
"status": "New Service Installed"
}
```
### GPS 异常
```
{
"event_type": "gps_signal_anomaly",
"vehicle_status": "spoofed"
}
```
### 支付终端篡改
```
{
"event_type": "payment_skimming",
"terminal_id": "A01-PAY-014"
}
```
## 展示的 SOC 概念
### 威胁建模
- 资产识别
- CIA 分类
- 威胁行为者分析
- 风险评估
### 检测工程
- 相关规则设计
- 事件丰富
- 警报生成
- 指标分析
### 威胁情报
- IOC 工作流程
- MITRE ATT&CK 映射
- 威胁丰富概念
- 对手行为分析
### 事件响应
- 检测
- 验证
- 隔离
- 根除
- 恢复
- 经验教训
### 威胁狩猎
- 身份验证异常
- DNS 隧道调查
- GPS 完整性验证
- 支付基础设施监控
## 学习成果
该项目展示了以下方面的实际理解:
- 安全运营中心 (SOC)
- SIEM 架构
- Graylog 监控
- 威胁检测
- 威胁狩猎
- 事件响应
- 威胁情报
- 检测工程
- MITRE ATT&CK 框架
- 交通基础设施安全
## 未来改进
潜在的扩展包括:
- Wazuh 集成
- 自动警报关联
- SOAR 脚本
- 实时流遥测
- 扩展 MITRE ATT&CK 覆盖范围
- 仪表板分析
- 检测规则测试框架
- 多租户 SOC 场景
## 团队
**Aniket Sompura** PES1UG23CS074
**Sumedh Suresh** PES1UG23CS610
## 免责声明
该项目是为教育目的开发的,旨在在模拟的交通基础设施环境中展示 SOC 工作流程、威胁检测方法、事件响应流程和网络安全监控概念。
### 票务调查控制台
允许分析师搜索票务活动和生成运营遥测数据的调查界面。
### 乘客票务预订
面向客户的预订工作流程,生成交易和支付遥测数据。
### Graylog 调查仪表板
用于调查生成事件和安全警报的集中日志监控环境。
## 架构
### 前端
- React
- JavaScript
- REST API 集成
### 后端
- FastAPI
- Python
### 监控堆栈
- Graylog
- 结构化 JSON 日志
### 安全组件
- 威胁模拟引擎
- 事件生成管道
- 检测工作流程
- 调查控制台
- SOC 场景框架
## 示例安全事件
该平台生成逼真的安全遥测数据,包括:
### DNS 隧道
```
{
"event_source": "Firewall NetFlow",
"destination_port": 53,
"destination_domain": "attacker-c2-server.com",
"payload_length": 145
}
```
### 可疑服务安装
```
{
"event_id": 7045,
"service_name": "SysUpdater",
"status": "New Service Installed"
}
```
### GPS 异常
```
{
"event_type": "gps_signal_anomaly",
"vehicle_status": "spoofed"
}
```
### 支付终端篡改
```
{
"event_type": "payment_skimming",
"terminal_id": "A01-PAY-014"
}
```
## 展示的 SOC 概念
### 威胁建模
- 资产识别
- CIA 分类
- 威胁行为者分析
- 风险评估
### 检测工程
- 相关规则设计
- 事件丰富
- 警报生成
- 指标分析
### 威胁情报
- IOC 工作流程
- MITRE ATT&CK 映射
- 威胁丰富概念
- 对手行为分析
### 事件响应
- 检测
- 验证
- 隔离
- 根除
- 恢复
- 经验教训
### 威胁狩猎
- 身份验证异常
- DNS 隧道调查
- GPS 完整性验证
- 支付基础设施监控
## 学习成果
该项目展示了以下方面的实际理解:
- 安全运营中心 (SOC)
- SIEM 架构
- Graylog 监控
- 威胁检测
- 威胁狩猎
- 事件响应
- 威胁情报
- 检测工程
- MITRE ATT&CK 框架
- 交通基础设施安全
## 未来改进
潜在的扩展包括:
- Wazuh 集成
- 自动警报关联
- SOAR 脚本
- 实时流遥测
- 扩展 MITRE ATT&CK 覆盖范围
- 仪表板分析
- 检测规则测试框架
- 多租户 SOC 场景
## 团队
**Aniket Sompura** PES1UG23CS074
**Sumedh Suresh** PES1UG23CS610
## 免责声明
该项目是为教育目的开发的,旨在在模拟的交通基础设施环境中展示 SOC 工作流程、威胁检测方法、事件响应流程和网络安全监控概念。标签:AMSI绕过, GPS追踪, IT运维安全, SIEM设计, 事件响应计划, 交通系统安全, 反取证, 地铁安全, 威胁建模, 威胁情报, 威胁检测, 安全合规, 安全场景模拟, 安全培训, 安全测试, 安全策略, 安全评估, 安全运营中心, 开发者工具, 提示词设计, 支付处理, 支付系统安全, 攻击性安全, 数字取证, 模拟平台, 灰盒监控, 票务系统, 网络代理, 网络安全, 网络映射, 自动化脚本, 自定义脚本, 车辆管理, 运营技术安全, 逆向工具, 速率限制, 隐私保护