Aniket15112005/security-monitoring-lab
GitHub: Aniket15112005/security-monitoring-lab
基于开源工具搭建的 SOC 风格安全监控与威胁检测实验室,模拟安全运营全流程并输出各环节分析报告。
Stars: 0 | Forks: 0
# 安全监控与威胁检测实验室
## 概述
本项目演示了如何使用免费和开源安全工具来设计和实现一个安全监控与威胁检测实验室。该实验室通过提供日志收集、威胁检测、网络监控、数据包分析、事件响应和系统强化的功能,模拟了安全运营中心 (SOC) 的职责。
该环境是使用 Ubuntu Server、Kali Linux、Wazuh、Wireshark、UFW Firewall、Fail2Ban 和 OpenCanary Honeypot 构建的。
## 项目目标
* 收集和监控安全日志
* 检测可疑活动和安全事件
* 分析网络流量
* 调查安全事件
* 实施系统强化控制
* 生成安全报告和文档
* 整合威胁情报源
* 部署和监控蜜罐
## 实验室环境
### 监控服务器
**操作系统**
* Ubuntu Server 24.04 LTS
**安全工具**
* Wazuh
* UFW Firewall
* Fail2Ban
* OpenSSH
* OpenCanary Honeypot
### 攻击机
**操作系统**
* Kali Linux
**工具**
* Nmap
* SSH Client
* Network Utilities
### 分析工作站
**操作系统**
* Windows 11
**工具**
* Wireshark
* Git
* Visual Studio Code
## 使用的工具
| 工具 | 用途 |
| ------------- | ------------------------------------ |
| Wazuh | 安全监控与日志收集 |
| Ubuntu Server | 监控服务器 |
| Kali Linux | 威胁模拟 |
| Nmap | 网络发现 |
| Wireshark | 数据包分析 |
| UFW | 防火墙保护 |
| Fail2Ban | 暴力破解防护 |
| OpenCanary | 蜜罐部署 |
| GitHub | 文档与版本控制 |
## 项目阶段
### 阶段 1 – 实验室搭建
* 创建 Ubuntu Server 虚拟机
* 创建 Kali Linux 虚拟机
* 设计实验室架构
* 配置网络连通性
### 阶段 2 – 网络发现
* 执行主机发现
* 进行服务枚举
* 识别开放端口
* 评估攻击面
### 阶段 3 – 安全监控
* 安装 Wazuh
* 配置监控
* 审查身份验证日志
* 监控安全事件
### 阶段 4 – 威胁模拟
* 端口扫描
* 未经授权的访问尝试
* 多次失败的登录尝试
* 身份验证测试
### 阶段 5 – 数据包分析
捕获并分析了:
* DNS 流量
* HTTP 流量
* ICMP 流量
使用:
* Wireshark
### 阶段 6 – 系统强化
实施了:
* UFW 防火墙规则
* Fail2Ban 保护
* SSH 强化
* Root 登录限制
* 自定义 SSH 端口配置
### 阶段 7 – 事件响应
模拟了:
* SSH 暴力破解攻击
执行了:
* 调查
* 证据收集
* 遏制
* 恢复
### 阶段 8 – 安全审计
审查了:
* 监控配置
* 防火墙规则
* 日志配置
* SSH 安全性
* 强化控制
## 已完成的额外任务
### OpenCanary 蜜罐
部署了 OpenCanary 蜜罐,以检测和监控未经授权的连接尝试。
功能:
* 蜜罐服务模拟
* 可疑活动检测
* 安全事件生成
### 威胁情报整合
将外部威胁情报概念整合到了调查流程中。
能力:
* IP 信誉分析
* 威胁上下文扩充
* 调查支持
## 项目结构
```
security-monitoring-lab/
│
├── README.md
├── LAB_ARCHITECTURE.md
├── NETWORK_DISCOVERY_REPORT.md
├── PACKET_ANALYSIS_REPORT.md
├── INCIDENT_RESPONSE_REPORT.md
├── SECURITY_AUDIT_REPORT.md
├── THREAT_INTELLIGENCE_REPORT.md
├── OPENCANARY_HONEYPOT_REPORT.md
│
├── Architecture_Diagram/
│ └── architecture.png
│
└── Screenshots/
├── Phase1_Lab_Setup/
├── Phase2_Network_Discovery/
├── Phase3_Security_Monitoring/
├── Phase4_Threat_Simulation/
├── Phase5_Packet_Analysis/
├── Phase6_System_Hardening/
├── Phase7_Incident_Response/
├── Phase8_Security_Audit/
└── Bonus_Tasks/
```
## 展示的技能
* 安全监控
* 威胁检测
* 日志分析
* 网络分析
* 数据包检查
* 事件响应
* 系统强化
* 防火墙管理
* 入侵防御
* 威胁情报
* 蜜罐部署
* 安全文档
## 关键发现
* 安全监控提高了系统活动的可见性。
* 身份验证日志提供了有价值的取证证据。
* 防火墙和入侵防御控制降低了攻击暴露面。
* 数据包分析有助于识别可疑的网络行为。
* 威胁情报增强了调查能力。
* 蜜罐提高了威胁可见性和检测能力。
## 学习成果
本项目提供了以下方面的实践经验:
* SOC 运营
* 安全监控
* 威胁检测工程
* 事件响应流程
* 网络安全分析
* 安全强化技术
* 威胁情报概念
## 免责声明
本项目完全在一个受控的实验室环境中进行,使用的是项目作者拥有和管理的系统。未对公共系统或未经授权的目标进行任何测试或攻击。
安全监控与威胁检测实验室项目
报告部分包含所有安全监控报告
标签:AMSI绕过, CTI, 威胁检测, 安全运营, 底层分析, 扫描框架, 插件系统, 服务器监控, 网络流量分析, 蜜罐技术, 速率限制