btncwn/SOC-IR-Threat-Hunting-Detection-Engineering-SOAR-Lab

# SOC-IR-威胁狩猎-检测工程-SOAR-实验室 ## 概述 本存储库记录了一个端到端的安全运营中心（SOC）实验室，该实验室旨在模拟真实的网络攻击生命周期并展示蓝队安全运营。 该项目结合了漏洞管理、攻击模拟、端点遥测收集、SIEM工程、威胁狩猎、MITRE ATT&CK映射、威胁情报，以提供跨多个网络安全学科的实践经验。 该实验室使用从Windows 7环境中收集的真实遥测数据开发，并通过Splunk Enterprise进行分析。 ## 关键成就 ✅ 构建了一个涵盖遥测→检测→威胁狩猎→事件响应→威胁情报→SOAR自动化的端到端SOC实验室 ✅ 在单一安全监控环境中部署和集成了Splunk Enterprise、Sysmon、MISP、Nessus、Docker和Windows端点 ✅ 使用PySigma和Splunk创建了并验证了Sigma检测规则 ✅ 将观察到的攻击者行为映射到MITRE ATT&CK技术和战术 ✅ 使用MISP和IOC丰富工作流程进行了威胁情报调查 ✅ 进行了包括持久性、横向移动、命令和控制以及数据泄露场景的事件响应调查 ✅ 使用Python和威胁情报丰富过程开发了SOAR剧本和安全自动化工作流程 ✅ 制作并支持了30+个技术项目报告，包括49+个截图、验证工件和调查证据 ## 项目历程 从头开始设计和构建了一个完整的SOC检测工程、威胁狩猎、威胁情报和事件响应实验室，使用Splunk Enterprise、Sysmon、Nessus Essentials、MISP、Sigma和BOTSv3数据集。 在项目过程中，遇到了多个技术挑战并得到了解决。最初尝试将Windows事件日志从运行在macOS上的Splunk Enterprise实例转发到Windows 11 UTM虚拟机失败，需要重新设计实验室架构。为了克服兼容性和遥测收集问题，使用专门的Windows 7端点和Kali Linux攻击者系统重新构建了环境。 成功部署和配置了Sysmon和Splunk通用转发器在旧版Windows基础设施上，生成了端点遥测，并验证了成功导入Splunk Enterprise进行安全监控和威胁狩猎活动。 使用Nessus Essentials进行了漏洞评估，发现了一个关键的MS17-010（永恒之蓝）漏洞，通过SMB枚举活动验证了发现，并通过基于Splunk的调查分析了结果遥测。 开发了涵盖恶意域名、恶意软件哈希、可疑PowerShell活动、攻击者行为分析、检测工程、威胁情报丰富和事件响应工作流程的结构化威胁狩猎调查。 该项目展示了使用真实遥测和行业标准安全技术设计、构建、故障排除、记录和操作端到端SOC环境的能力。 ## 实验室环境 ### 攻击者基础设施 * Kali Linux * 攻击模拟与对手仿真 ### 端点基础设施 * Windows 7 * Sysmon遥测收集 * Splunk通用转发器 ### 安全监控与检测堆栈 * Splunk Enterprise * Sysmon * Sigma检测规则 * Splunk通用转发器 ### 漏洞管理 * Nessus Essentials * 漏洞评估与修复工作流程 ### 威胁情报平台 * MISP * IOC管理与威胁情报丰富 ### 安全自动化（SOAR） * Shuffle SOAR * 自动化调查与响应工作流程 ### 事件响应（IR） * 事件响应剧本 * 端点调查工作流程 ### 检测工程 * Sigma规则开发 * Splunk检测开发 * MITRE ATT&CK映射 * 检测验证与调整 ## 使用的技术 | 技术 | 目的 | | ------------------------------ | ----------------------------------------------------------------- | | Splunk Enterprise | SIEM平台、安全监控、威胁狩猎与仪表板 | | Sysmon | 端点遥测与进程监控 | | Splunk通用转发器 | 日志收集与事件转发 | | Kali Linux | 攻击模拟与对手仿真 | | Windows 7 Professional SP1 x64 | 目标环境 | | Nessus Essentials | 漏洞评估与暴露验证 | | MITRE ATT&CK | 攻击者行为映射与检测覆盖 | | MISP | 威胁情报平台、IOC丰富与威胁狩猎 | | BOTSv3数据集 | 检测验证与威胁狩猎练习 | | Sigma | 检测工程与可移植检测开发 | | GitHub Pages | 网络安全组合与项目文档 | | SOAR工作流程 | 安全自动化与剧本开发（进行中） ## 存储库结构 SOC-Detection-Engineering-Threat-Hunting-DFIR-Lab 01-lab-architecture 02-vulnerability-assessment 03-attack-simulation 04-endpoint-telemetry 05-splunk-ingestion 06-threat-hunting 07-mitre-attack-mapping 08-threat-intelligence 09-incident response 10-soc-investigations 11-detection-engineering-sigma 12-soar-automation ## 项目亮点 ### 漏洞评估 * 认证Nessus扫描 * 发现550个问题 * 52个关键漏洞 * 326个高漏洞 * MS17-010（永恒之蓝）检测 ### 攻击模拟 * SMB枚举 * 服务发现 * 暴露验证 * 攻击面分析 ### 端点遥测 * Sysmon部署 * 进程监控 * PowerShell监控 * 父子进程分析 ### SIEM工程 * Splunk Enterprise部署 * Splunk通用转发器配置 * Sysmon日志导入 * XML事件解析与字段提取 ### 威胁狩猎 * 进程分析 * PowerShell狩猎 * 命令行调查 * 行为分析 ### MITRE ATT&CK映射 映射技术包括： * T1046 – 网络服务发现 * T1018 – 远程系统发现 * T1021.002 – SMB / Windows管理员共享 * T1059.001 – PowerShell * T1059.003 – Windows命令外壳 * T1210 – 远程服务利用 ## 展示的技能 * 安全运营中心（SOC）运营 * 威胁狩猎与调查 * 检测工程（Sigma） * SIEM管理（Splunk Enterprise） * 漏洞评估与暴露验证 * 端点监控与遥测分析 * 威胁情报与IOC丰富（MISP） * MITRE ATT&CK映射 * 事件响应方法论 * 安全事件分析与关联 * PowerShell与进程分析 * 日志收集、解析与转发 * 检测验证与调整 * 安全报告与文档 ## 未来改进 * SOAR剧本开发与自动化 * 威胁情报自动化丰富工作流程 * 高级Sigma检测工程用例 * Splunk Enterprise安全（ES）用例 * 检测覆盖扩展到其他ATT&CK技术 * 自动警报分类与调查工作流程 * 定制威胁狩猎仪表板 * Elastic Security检测与威胁狩猎实验室 * Microsoft Sentinel检测工程实验室 ## 免责声明 本存储库创建用于网络安全教育、组合开发、检测工程实践和防御性安全研究。 所有测试均在授权和隔离的实验室环境中进行。

标签：DNS通配符暴力破解, 请求拦截, 逆向工具