Bataas/Automated-SOC-LAB

# 自动化 SOC 实验室 ## 概述 该实验室是一个基于云的网络安全监控和事件响应平台，旨在模拟真实的 SOC 工作流。 本项目集成了 SIEM、SOAR、DFIR-IRIS、威胁情报和自动化告警技术，用于检测、分析和响应跨多个端点和操作系统的安全事件。 该实验室使用 AWS 云基础设施构建，结合了 Wazuh SIEM、Shuffle SOAR、DFIR-IRIS、Grafana、VirusTotal、AbuseIPDB 以及 Microsoft Teams 集成，创建了一个端到端的安全监控环境。 该平台支持： 1. 集中式日志收集与监控 2. 自动化事件响应工作流 3. 威胁情报富化 4. 对齐 MITRE ATT&CK 的检测 5. 安全事件可视化与仪表盘 6. 模拟攻击检测与调查 本项目的目标是通过网络安全实操与自动化，培养实用的 SOC 工程、检测工程和事件响应技能。 ## 目标 本项目的主要目标是： 1. 构建实用的基于云的 SOC 环境，用于安全监控和事件响应 2. 集中收集来自多个操作系统和设备的日志及安全事件 3. 使用 SOAR 技术实现自动化告警分诊和事件响应工作流 4. 模拟真实世界的网络攻击，以测试检测和响应能力 5. 集成威胁情报平台，进行 IOC 富化和分析 6. 使用自定义仪表盘可视化安全数据和运营指标 7. 开发对齐 MITRE ATT&CK 框架的自定义检测规则 8. 提升在 SIEM 工程、DFIR 流程和 SOC 运维方面的实操技能 9. 获得云基础设施、安全自动化和威胁监控方面的实践经验 ## 使用的技术 | 类别 | 技术 | | ------------------------ | ---------------------------------- | | SIEM | Wazuh | | SOAR | Shuffle | | DFIR 与案件管理 | DFIR-IRIS | | 可视化与仪表盘 | Grafana | | 威胁情报 | VirusTotal, AbuseIPDB | | 云基础设施 | AWS EC2 | | 操作系统 | Ubuntu Linux, Windows 10/11, macOS | | 日志来源 | Syslog, Wazuh Agents | | 通信与告警 | Microsoft Teams Webhooks | | 安全框架 | MITRE ATT&CK | | 攻击模拟工具 | Hydra, Nmap | | 虚拟化与实验环境 | Docker, Proxmox | | 脚本与自动化 | Python, JSON APIs | ## 实验室架构 自动化 SOC 实验室采用托管在 AWS 云基础设施上的集中式安全监控架构设计。 该环境由两台主要服务器组成： ## 系统架构  ### SIEM 服务器 SIEM 服务器托管： * Wazuh Manager * Wazuh Indexer * Wazuh Dashboard 此服务器负责： * 日志收集 * 事件关联 * 威胁检测 * 安全监控 * 告警生成 ### SOC 工具服务器 SOC 工具服务器托管： * Shuffle SOAR * DFIR-IRIS * Grafana 此服务器负责： * 安全编排与自动化 * 事件响应案件管理 * 威胁情报富化 * 仪表盘可视化与报告 ### 端点监控 该平台监控多种端点类型，包括： * Windows 系统 * Linux 系统 * macOS 系统 * 网络设备 * 启用 Syslog 的服务 ### 威胁检测工作流 1. 受监控端点生成安全事件 2. Wazuh 收集并分析日志 3. 检测规则根据可疑活动触发告警 4. Shuffle SOAR 自动化事件响应工作流 5. 威胁情报 API 富化入侵指标 (IOC) 6. DFIR-IRIS 创建并管理调查案件 7. Microsoft Teams 接收实时安全通知 8. Grafana 可视化安全指标和告警 ## 功能特性 自动化 SOC 实验室包含多种安全监控、检测和事件响应功能，旨在模拟真实的 SOC 运维。 ### 安全监控 * 集中式日志收集与分析 * 实时安全事件监控 * 多平台端点可见性 * 基于 Syslog 和 Agent 的监控 ### 威胁检测 * 自定义 Wazuh 检测规则 * 暴力破解攻击检测 * 端口扫描检测 * 权限提升检测 * 文件完整性监控 (FIM) * 可疑身份验证监控 ### 安全自动化 * 自动化告警分诊工作流 * 使用威胁情报 API 进行 IOC 富化 * 在 DFIR-IRIS 中自动创建事件 * Microsoft Teams 安全通知 * 告警去重与关联 ### 威胁情报集成 * VirusTotal 集成 * AbuseIPDB 集成 * IOC 信誉分析 * 恶意 IP 地址的自动化富化 ### 可视化与报告 * Grafana SOC 仪表盘 * 安全事件可视化 * 告警趋势监控 * 运营监控指标 ### 事件响应 * 自动化案件创建 * Observable 管理 * 事件跟踪工作流 * MITRE ATT&CK 技术映射 ### 云与基础设施 * 基于 AWS 的部署 * Docker 容器化服务 * 可扩展的 SOC 架构 * 多服务器安全运维环境 ## 检测与响应工作流 自动化 SOC 实验室使用集成的 SIEM 和 SOAR 工作流来自动化威胁检测、告警富化、事件响应和调查过程。 ### 检测工作流  1. 端点和受监控系统生成日志和安全事件 2. Wazuh Agent 和 Syslog 服务将日志转发给 Wazuh Manager 3. Wazuh 使用内置和自定义检测规则分析传入的事件 4. 基于可疑活动模式生成安全告警 5. 告警被转发至 Shuffle SOAR 进行自动化处理 ### 自动化响应工作流 Shuffle SOAR 自动执行多种事件响应动作，包括： * 告警解析与验证 * 使用 VirusTotal 和 AbuseIPDB 进行威胁情报富化 * IOC 提取与分析 * 自动创建 DFIR-IRIS 案例 * 将安全告警转发至 Microsoft Teams * 告警去重与关联 ### 事件调查工作流 一旦事件被创建： * DFIR-IRIS 管理调查案件 * 诸如 IP 地址和主机名之类的 Observables 会被自动添加 * 分析师可以审查经过富化的入侵指标 * 事件根据严重级别进行分类 * MITRE ATT&CK 技术被映射到检测到的活动中 ### 严重性分类 该平台使用基于严重性的告警分类： | Wazuh 告警级别 | 严重性 | | -------------- | -------- | | 13–15 | 严重 | | 10–12 | 高 | | 7–9 | 中 | | 0–6 | 低 | ### 支持的检测场景 该实验室目前支持以下检测： * SSH 暴力破解攻击 * 网络侦察与端口扫描 * 权限提升尝试 * 可疑身份验证活动 * 文件完整性修改 * 横向移动活动 ## 攻击模拟 为了验证检测和响应工作流的有效性，在实验室环境中执行了多次受控的网络攻击模拟。 这些模拟旨在测试平台的 SIEM、SOAR、告警和事件响应能力。 ### SSH 暴力破解攻击 使用 Hydra 对 Linux 目标系统执行了暴力破解攻击模拟。 **检测结果：** * 检测到多次身份验证失败尝试 * Wazuh 生成了高严重性告警 * 应用了 MITRE ATT&CK 技术映射 * Shuffle SOAR 触发了自动化工作流 * DFIR-IRIS 案例自动创建 * 生成了 Microsoft Teams 通知 **MITRE ATT&CK 映射：** * T1110 – 暴力破解 (Brute Force) ### 网络侦察与端口扫描 对受监控系统执行了 Nmap 扫描，以模拟攻击者的侦察活动。 **检测结果：** * 识别出端口扫描活动 * 自定义检测规则触发告警 * 可疑扫描行为被记录并在仪表盘中可视化 **MITRE ATT&CK 映射：** * T1046 – 网络服务扫描 (Network Service Scanning) ### 权限提升模拟 通过提升的 sudo 命令和可疑的管理操作模拟了权限提升尝试。 **检测结果：** * 检测到未经授权的权限提升行为 * 生成了高严重性告警 * 自动触发了事件工作流 **MITRE ATT&CK 映射：** * T1548 – 滥用提权控制机制 (Abuse Elevation Control Mechanism) ### 文件完整性监控 (FIM) 模拟 对关键系统文件进行了修改，以验证文件完整性监控能力。 **检测结果：** * 检测到未经授权的文件修改 * 触发了 Wazuh FIM 告警 * 告警可视化显示在 Grafana 仪表盘中 **MITRE ATT&CK 映射：** * T1565 – 数据篡改 (Data Manipulation) ### 横向移动模拟 在受监控系统之间模拟了基于 SSH 的横向移动活动。 **检测结果：** * 检测到可疑的远程身份验证行为 * 跨系统生成了关联告警 * 启动事件工作流以进行调查 **MITRE ATT&CK 映射：** * T1021 – 远程服务 (Remote Services) ## 威胁情报集成 自动化 SOC 实验室集成了外部威胁情报平台，以丰富安全告警并提升事件调查能力。 威胁情报富化使分析师能够识别潜在的恶意入侵指标 (IOC)，并在调查过程中获取更多上下文信息。 ### VirusTotal 集成 VirusTotal 被集成到 SOAR 工作流中，用于分析可疑指标，包括： * IP 地址 * 域名 * 文件哈希 * URL 该集成会自动检索： * 恶意检测计数 * 信誉分析 * 威胁分类信息 * 社区情报数据 这使分析师能够快速确定某个指标是否曾与恶意活动相关联。 ### AbuseIPDB 集成 集成了 AbuseIPDB 以评估安全事件中检测到的可疑 IP 地址的信誉。 该平台提供： * 滥用可信度评分 * 地理位置信息 * 历史滥用报告 * 威胁信誉分析 此信息会自动包含在事件响应工作流中，以支持更快的决策制定。 ### 自动化 IOC 富化工作流 当检测到可疑活动时： 1. Shuffle SOAR 从 Wazuh 告警中提取指标 2. 指标被自动提交给 VirusTotal 和 AbuseIPDB 3. 检索并处理威胁情报数据 4. 富化后的结果被附加到 DFIR-IRIS 调查案件中 5. 安全团队通过 Microsoft Teams 通知接收经过富化的告警 ### 威胁情报集成的优势 威胁情报服务的集成改善了： * 事件调查效率 * IOC 验证与优先级排序 * 威胁可见性与上下文 * SOC 响应能力 * 分析师的决策过程 ## SIEM 仪表盘 实现了 Grafana 仪表盘，以提供整个 SOC 环境中安全事件、告警和运营指标的集中可视化与监控。 这些仪表盘使分析师能够快速识别可疑活动、监控告警趋势，并了解实验室环境的整体安全态势。 ### 仪表盘功能 仪表盘包含以下可视化面板： * 安全告警严重性分布 * 实时事件监控 * 威胁活动趋势 * 身份验证与登录事件 * 暴力破解攻击检测 * 文件完整性监控告警 * 端点活动监控 * 事件响应指标 ### Wazuh 集成 Grafana 使用 OpenSearch 数据源连接到 Wazuh Indexer，以可视化从受监控端点收集的 SIEM 数据。 该集成支持： * 安全事件的实时查询 * 告警过滤与关联 * 历史日志分析 * 运营监控仪表盘 ### 安全监控优势 仪表盘通过以下方式提升了 SOC 可见性： * 更快地识别可疑活动 * 改善态势感知 * 跨多个系统的集中监控 * 安全事件趋势分析 * 运营报告与可视化 ### 实时告警监控 仪表盘提供近乎实时的更新，用于： * 高严重性安全告警 * 活跃事件 * 威胁情报匹配 * 端点活动 * 检测规则触发 这使分析师能够快速响应安全事件，并监控环境中事件的进展。 ## SOAR 自动化 实现了 Shuffle SOAR 以自动化安全运维工作流，并减少 SOC 环境中手动的事件响应活动。 自动化工作流处理由azuh 生成的告警，并自动执行多种响应和富化操作。 ### 自动化 SOAR 能力 SOAR 工作流执行： * 告警解析与验证 * 从安全事件中提取 IOC * 威胁情报富化 * 自动创建事件 * 安全告警转发 * 告警去重与关联 ### 集成工作流动作 当检测到可疑活动时： 1. Wazuh 生成安全告警 2. Shuffle 通过 webhook 集成接收告警 3. 自动提取入侵指标 4. 使用 VirusTotal 和 AbuseIPDB 执行威胁情报查询 5. 自动创建 DFIR-IRIS 案例 6. 向分析师发送 Microsoft Teams 通知 7. 调查 Observables 被添加到事件中 ### SOAR 集成的优势 该自动化平台改善了： * 事件响应速度 * 告警处理效率 * 威胁调查工作流 * 安全运维可扩展性 * SOC 分析师生产力 ## DFIR 与事件管理  DFIR-IRIS 作为事件响应和案件管理平台实现，用于处理自动化 SOC 实验室内的安全调查。 该平台集中了事件跟踪、Observable 管理和调查工作流。 ### 事件响应能力 该 DFIR 平台支持： * 自动创建案件 * 事件严重性分类 * Observable 管理 * 调查跟踪 * 威胁情报富化 * 安全事件文档记录 ### 自动创建案件 当检测到高优先级告警时： * Shuffle SOAR 自动创建调查案件 * 相关指标被附加到事件中 * 告警元数据包含在案例详情中 * 事件根据严重性进行分类 ### Observable 管理 该平台自动存储： * 可疑 IP 地址 * 主机名 * 用户名 * 告警详情 * 威胁情报结果 这使分析师能够更高效地调查和关联安全事件。 ### 事件生命周期管理 DFIR 工作流支持： * 检测 * 分诊 * 调查 * 遏制跟踪 * 文档记录 * 事件关闭 ## MITRE ATT&CK 映射 自动化 SOC 实验室将检测能力与 MITRE ATT&CK 框架对齐，以改善威胁分类和安全监控可见性。 MITRE ATT&CK 映射被应用于自定义检测规则和模拟攻击场景。 ### 实施的 MITRE ATT&CK 技术 | 技术 ID | 技术名称 | 检测场景 | | -------- | ------------------------ | ---------------- | | T1110 | 暴力破解 (Brute Force) | SSH 暴力破解攻击 | | T1046 | 网络服务扫描 (Network Service Scanning) | Nmap 侦察扫描 | | T1548 | 滥用提权控制机制 (Abuse Elevation Control Mechanism) | 权限提升尝试 | | T1565 | 数据篡改 (Data Manipulation) | 文件完整性修改 | | T1021 | 远程服务 (Remote Services) | SSH 横向移动 | ### 对齐 MITRE ATT&CK 的优势 该框架改善了： * 威胁检测分类 * 安全事件分析 * 攻击者行为映射 * 事件调查工作流 * SOC 报告与可见性 ### 检测工程 开发了自定义 Wazuh 检测规则以： * 识别可疑的攻击模式 * 减少误报 * 提高检测准确性 * 支持自动化事件响应工作流 ## 项目成果 自动化 SOC 实验室成功演示了使用 SIEM、SOAR、DFIR 和威胁情报技术部署和运行集成 SOC 环境的过程。 ### 主要成就 * 成功在 AWS 上部署基于云的 SOC 架构 * 实现多操作系统和端点的集中监控 * 实施了自动化事件响应工作流 * 集成了外部威胁情报服务 * 开发了对齐 MITRE ATT&CK 的自定义检测规则 * 模拟并检测了多种网络攻击场景 * 构建了可运行的 Grafana SOC 仪表盘 * 自动化了 DFIR-IRIS 事件创建与富化 ### 培养的技能 本项目强化了以下实用技能： * SIEM 工程 * SOC 运维 * 检测工程 * 威胁监控 * 事件响应 * 威胁情报集成 * 云安全 * 安全自动化 * DFIR 工作流 ### 运营影响 集成的工作流改善了： * 告警可见性 * 事件响应效率 * 调查速度 * 安全事件关联 * SOC 运营感知 ## 截图 该仓库包含的截图演示了： * Wazuh 安全告警 * Grafana 仪表盘 * Shuffle SOAR 工作流 * DFIR-IRIS 事件 * 威胁情报富化 * Microsoft Teams 通知 * 攻击模拟检测 * SOC 监控环境 ## 未来改进 为自动化 SOC 实验室计划的未来增强功能包括： * 高级威胁狩猎工作流 * EDR 集成 * 基于机器学习的异常检测 * 更多威胁情报源 * 自动化遏制动作 * 扩展的攻击模拟场景 * 云原生监控集成 * 改进的检测工程流水线 * 威胁狩猎仪表盘 * 多租户 SOC 能力 ## 免责声明 本项目仅出于教育、研究和网络安全培训目的而开发。 所有攻击模拟和测试活动均在项目团队拥有或授权的受控实验室环境中进行。 在本项目的开发或测试期间，没有针对任何未经授权的系统或第三方环境。 ## 项目团队 本项目作为网络安全 SOC 自动化和事件响应实验室环境的一部分协作开发。 ### 团队成员 * Bishnu Timilsaina * Binod Gurung * Roshan Chaudhary * Amrit Rai ### 主要贡献 **Bishnu Timilsaina** * Shuffle SOAR 工作流开发 * 告警富化自动化 * DFIR-IRIS 集成 * 事件去重逻辑 * 攻击模拟测试 * 检测工作流验证 团队成员的其他贡献包括基础设施部署、仪表盘可视化、监控配置、测试和项目文档。 ## 与我联系 LinkedIn: https://www.linkedin.com/in/bishnu-timilsaina/ GitHub: https://github.com/Bataas/

标签：AbuseIPDB, AMSI绕过, Ask搜索, AWS云基础设施, Cloudflare, DFIR-IRIS, Grafana, IOC丰富, IP 地址批量处理, Microsoft Teams, MITRE ATT&CK, PE 加载器, Shuffle, SOAR, VirusTotal, Wazuh, 告警分类, 威胁情报, 威胁检测, 子域名变形, 安全仪表盘, 安全数据可视化, 安全编排与自动化响应, 安全运营, 安全运营中心, 开发者工具, 扫描框架, 数字取证与事件响应, 无线安全, 模拟攻击检测, 端点安全, 网络安全监控, 网络映射, 自动化SOC实验室, 自动化告警, 补丁管理, 请求拦截, 跨平台监控, 逆向工具, 集中式日志收集, 驱动开发