Kruppatel/home-siem-lab

# 家庭 SOC 实验室 - 威胁检测与事件响应 ## 项目概述 在 Apple Silicon Mac 上使用 UTM 虚拟化技术，基于 Elastic Stack (ELK) 搭建了家庭安全运营中心 (SOC) 实验室。模拟了真实的攻击者/受害者场景，并使用自定义 SIEM 检测规则进行威胁检测。 ## 架构 Kali Linux (攻击者) → SSH/SMB 暴力破解 → Windows 11 VM (受害者) ↓ Winlogbeat (日志转发器) ↓ Elasticsearch (日志存储) ↓ Kibana (SIEM 仪表板) ↓ SOC 分析师 (调查) ## 使用的工具 - **Elastic Stack 8.13** - SIEM 平台 - **Elasticsearch** - 日志存储与搜索 - **Kibana** - 仪表板与告警 - **Filebeat** - Mac 日志收集 - **Winlogbeat** - Windows 事件日志收集 - **UTM** - Apple Silicon 上的虚拟化 - **Kali Linux** - 攻击模拟 - **Windows 11 ARM** - 目标机器 - **CrackMapExec** - SMB 暴力破解工具 - **Python/Paramiko** - 自定义暴力破解脚本 ## 攻击场景 ### 1. SSH 暴力破解攻击 - 工具：自定义 Python 脚本 - 目标：Windows 11 VM (192.168.64.10) - 结果：1053 次失败登录事件 (Event ID 4625) ### 2. SMB 暴力破解攻击 - 工具：CrackMapExec - 目标：Windows 11 VM (192.168.64.10) - 结果：40 次失败登录事件 (Event ID 4625) - 检测到账户锁定 (Event ID 4740) - 在 Kibana 中触发了高危告警 ## 检测规则 ### 暴力破解检测规则 - 类型：Threshold - 查询：event.code: 4625 - 阈值：每台主机 >= 2 个事件 - 严重程度：高 - 风险评分：75 ## 关键发现 - 检测到 1,053 次 SSH 登录失败尝试 (Event ID 4625) - 检测到 40 次 SMB 登录失败尝试 (Event ID 4625) - 触发了 4 次账户锁定事件 (Event ID 4740) - 已确定源 IP：192.168.64.3 (Kali Linux) - 目标：WIN-B4NBUJUI7M6 (Windows VM) - SSH 攻击：Interactive 登录类型 - SMB 攻击：Network 登录类型 - 在 Kibana 中触发了高危告警

标签：Elastic Stack, 安全运营中心, 攻击模拟, 流量重放, 网络映射, 越狱测试, 逆向工具, 驱动签名利用