adeolaquadri29-ctrl/soc-telemetry-threat-detection-pipeline

SOC遥测与威胁检测管道 概述 本项目展示了安全运营中心（SOC）遥测、检测、丰富、警报和响应管道的设计与实现。 该环境使用Sysmon收集Windows端点遥测数据，通过Filebeat将日志传输到Elasticsearch，使用AbuseIPDB的威胁情报丰富可疑的网络活动，并通过Python和Docker自动化警报和响应操作。 目标是模拟企业安全运营环境中常见的核心SOC和SOAR功能。 ⸻ 架构 Windows端点 → Sysmon → Filebeat → Elasticsearch → Kibana → Python检测引擎 → AbuseIPDB丰富 → Discord警报 → 自动响应工作流程 ⸻ 使用的技术 * Sysmon * Filebeat * Elasticsearch * Kibana * Python * Docker * AbuseIPDB API * Discord Webhooks * Ubuntu Linux * UFW防火墙 ⸻ 功能 遥测收集 * 使用Sysmon监控Windows端点 * 详细的过程和网络可见性 * 事件ID 3网络连接监控 检测工程 * 基于Elasticsearch查询的检测 * 网络连接分析 * IP验证 * 警报去重 * 白名单逻辑 威胁情报丰富 * AbuseIPDB集成 * Abuse置信度评分 * 威胁上下文丰富 警报 * 实时Discord通知 * 基于严重性的警报生成 自动响应 * 低：仅记录日志 * 中：警报 * 高：模拟阻止 * 严重：自动UFW阻止 Docker化 * 可移植部署 * 一致的运行时环境 * 运营现实性 ⸻ MITRE ATT&CK映射 技术 描述 T1046 网络服务扫描 T1071 应用层协议 T1049 系统网络连接发现 ⸻ 项目成果 * 构建了端到端SOC遥测管道 * 实现了威胁情报丰富 * 开发了自动检测工作流程 * 集成了自动响应操作 * 容器化安全运营工具 * 模拟了现实世界的SOC分析师工作流程 ⸻ 未来增强 * VirusTotal丰富 * TheHive集成 * Shuffle SOAR编排 * 自动化案例创建 * 额外的检测规则 * 威胁狩猎仪表板

标签：AbuseIPDB, AMSI绕过, Discord, Docker, Elasticsearch, Filebeat, IP 地址批量处理, Mr. Robot, Python, Sysmon, 威胁情报, 威胁检测, 安全运营中心, 安全防御评估, 应用层协议, 开发者工具, 插件系统, 无后门, 管理员页面发现, 系统网络连接发现, 网络映射, 网络服务扫描, 自动化响应, 请求拦截, 越狱测试, 逆向工具