soneom14/SOC-Investigation-Lab

# SOC 调查实验室 ## 项目概述 本项目展示了使用 Kali Linux、Metasploitable2、Nmap、Wireshark 和 VirtualBox 进行的端到端安全运营中心 (SOC) 调查工作流。 目标是在受控的实验室环境中，通过执行网络验证、服务发现、流量分析、证据收集和安全评估，来模拟真实的 SOC 分析师环境。 ## 文档 - [阶段 1 - 网络验证](docs/Phase1-Network-Verification.md) - [阶段 2 - 侦察](docs/Phase2-Reconnaissance.md) - [阶段 3 - 流量分析](docs/Phase3-Traffic-Analysis.md) - [阶段 4 - 证据收集](docs/Phase4-Evidence-Collection.md) - [调查发现报告](docs/Findings.md) - [最终调查报告](reports/final_findings.md) ## 项目成果 成功完成了端到端的 SOC 调查工作流，包括： - 网络验证 - 服务枚举 - 流量分析 - 证据收集 - 安全评估 - 事件文档记录 本项目展示了使用行业标准网络安全工具和方法论的实用 SOC 分析师技能。 ## 实验室架构 ### 环境概述 | 组件 | IP 地址 | 用途 | |------------|------------|----------| | Kali Linux | 192.168.56.104 | 分析师机器 | | Metasploitable2 | 192.168.56.103 | 漏洞目标 | | VirtualBox Host-Only Network | 192.168.56.0/24 | 隔离的实验室网络 | ### 架构图  ## 展示技能 - 网络验证 - 网络侦察 - Nmap 枚举 - 服务发现 - Wireshark 流量分析 - Packet Capture 分析 - 证据收集 - 安全评估 - 事件文档记录 - 漏洞识别 - Linux 管理 - 网络安全报告 ## 使用工具 - Kali Linux - VirtualBox - Metasploitable2 - Nmap - Wireshark # 调查工作流 ## 阶段 1 – 网络验证 ### 目标 验证分析师机器和目标机器之间的连通性。 ### 命令 ``` ping 192.168.56.103 ``` ### 结果 - 成功的 ICMP 通信 - 0% 丢包率 - 已确认连通性 ### 截图  ## 阶段 2 – 侦察 ### 目标 识别目标系统上运行的活跃服务。 ### 命令 ``` sudo nmap -sV 192.168.56.103 ``` ### 已识别的服务 | 端口 | 服务 | |--------|----------| | 21 | FTP | | 22 | SSH | | 23 | Telnet | | 25 | SMTP | | 53 | DNS | | 80 | HTTP | | 139 | NetBIOS | | 445 | SMB | | 3306 | MySQL | | 5432 | PostgreSQL | | 5900 | VNC | | 6667 | IRC | ### 截图  ## 阶段 3 – 流量分析 ### 目标 捕获并分析在侦察活动期间生成的网络流量。 ### 工具 Wireshark ### 观察到的流量 - ICMP Echo 请求与回复 - TCP 连接尝试 - SMB 通信 - NetBIOS 流量 - 服务发现流量 ### 截图  ## 阶段 4 – 证据收集 ### 目标 保存收集的证据以用于分析和报告。 ### 收集的证据 - Packet Capture 文件 - Nmap 扫描结果 - 调查截图 - 调查发现报告 ### Packet Capture ``` pcaps/network_capture.pcapng ``` # 调查发现 ## 主机信息 | 系统 | IP 地址 | |----------|------------| | 分析师机器 | 192.168.56.104 | | 目标机器 | 192.168.56.103 | ## 安全观察 ### 网络连通性 - 分析师和目标系统之间成功建立通信。 - 观察并验证了 ICMP 流量。 - 未检测到丢包。 ### 服务发现 目标系统上暴露了多个服务。 ### 已识别的服务 | 服务 | 风险等级 | |----------|------------| | FTP | 中 | | SSH | 低 | | Telnet | 高 | | SMTP | 中 | | DNS | 低 | | HTTP | 中 | | NetBIOS | 高 | | SMB | 高 | | MySQL | 中 | | PostgreSQL | 中 | | VNC | 中 | | IRC | 中 | ## 风险评估 目标系统暴露了多个服务，这增加了攻击面并可能被攻击者利用。 ### 主要风险 - 未加密的 Telnet 通信 - SMB 暴露 - NetBIOS 信息泄露 - 多个可公开访问的服务 ### 潜在影响 - 未经授权的访问 - 凭据泄露 - 信息泄露 - 横向移动机会 ## 建议 1. 禁用不必要的服务。 2. 用 SSH 替换 Telnet。 3. 限制 SMB 访问。 4. 实施 firewall 控制。 5. 持续监控网络流量。 6. 定期进行漏洞评估。 ## 主要成就 - 验证了分析师和目标系统之间的连通性。 - 识别了多个暴露的网络服务。 - 捕获并分析了实时网络流量。 - 通过截图和 packet captures 保存了证据。 - 对发现的服务进行了安全评估。 - 制作了专业的调查文档和报告。 ## 仓库结构 ``` SOC-Investigation-Lab/ │ ├── docs/ │ ├── Phase1-Network-Verification.md │ ├── Phase2-Reconnaissance.md │ ├── Phase3-Traffic-Analysis.md │ ├── Phase4-Evidence-Collection.md │ └── Findings.md │ ├── pcaps/ │ └── network_capture.pcapng │ ├── reports/ │ └── final_findings.md │ ├── screenshots/ │ ├── SOC architecture diagram.jpeg │ ├── ping_test.jpeg │ ├── nmap_scan.png │ └── wireshark_capture.jpeg │ └── README.md ``` ## 未来改进 - Nessus 漏洞扫描 - OpenVAS 集成 - Snort IDS 监控 - Suricata 告警分析 - SIEM 集成 - 事件响应 Playbooks ## 作者 **Om Sone** 网络安全学生 | SOC 分析师爱好者 | 网络安全学习者 ## 免责声明 本项目在隔离的实验室环境中进行，使用了故意存在漏洞的系统，仅供教育和研究目的使用。

标签：AES-256, CTI, Metasploitable, Wildcard支持, 安全实验室, 安全运营中心, 插件系统, 漏洞评估, 网络映射, 网络流量分析, 防御绕过