Harikrishnan-P97/soc-automation-detection-engineering-lab

# SOC 自动化与检测工程实验室  SOC 平台 :       检测与威胁狩猎 :      攻击模拟 :    基础设施 :     仓库 :  一个综合性的安全运营中心 (SOC) 模拟环境，旨在模拟真实世界中的检测工程、安全监控、事件响应、威胁狩猎和 SOAR 式自动化工作流。 该项目集成了多种安全技术，用于模拟从攻击执行和遥测收集，到检测、富化、调查、遏制和响应的完整攻击-响应生命周期。 ## 目录 * [实验室统计数据](#lab-statistics) * [文档](#documentation) * [核心功能](#key-features) * [架构概述](#architecture-overview) * [遥测流水线](#telemetry-pipeline) * [实验室基础设施](#lab-infrastructure) * [攻击模拟覆盖范围](#attack-simulation-coverage) * [Splunk 检测工程](#splunk-detection-engineering) * [n8n SOAR 自动化](#n8n-soar-automation) * [Grafana SOC 仪表板](#grafana-soc-dashboards) * [事件响应工作流](#incident-response-workflow) * [MITRE ATT&CK 映射](#mitre-attck-mapping) * [项目成就](#project-achievements) * [平台截图](#platform-screenshots) * [经验教训](#lessons-learned) * [仓库结构](#repository-structure) * [未来改进](#future-improvements) * [相关文章](#related-writeups) * [免责声明](#disclaimer) * [作者](#author) # 实验室统计数据 | 指标 | 值 | | -------------------------------- | -------- | | Splunk Indexes | 5 | | 检测规则 | 20+ | | n8n SOAR 工作流 | 10 | | Grafana 仪表板 | 2 | | 仪表板面板 | 35+ | | 遥测源 | 5+ | | 集成的安全工具 | 12+ | | 攻击模拟 | 多项 | | MITRE ATT&CK 技术 | 10+ | | 端到端调查工作流 | 完整 | # 文档 | 部分 | 描述 | | ------------- | ------------------------------------------------------- | | docs/ | 架构、遥测、工作流和经验教训 | | detections/ | 检测工程文档和 SPL | | workflows/ | n8n 工作流文档和导出 | | dashboards/ | Grafana 仪表板导出 | | phishing-lab/ | 专属的钓鱼模拟项目 | | architecture/ | 架构和遥测流程图 | # 核心功能 ## 检测工程 * 自定义 Splunk 检测规则 * 对齐 MITRE ATT&CK 的检测 * 使用 Sysmon 进行端点监控 * 使用 Suricata 进行网络监控 * 使用 ModSecurity 和 OWASP CRS 检测 Web 攻击 * 告警规范化和富化 ## 安全监控 * 使用 Splunk 集中收集日志 * 端点遥测分析 * 网络流量监控 * Web 应用安全监控 * 实时安全仪表板 ## SOAR 自动化 * 自动化告警处理 * VirusTotal 威胁情报富化 * 告警生命周期管理 * 调查时间线跟踪 * 使用 LimaCharlie 进行主机隔离 * 每日 SOC 报告 ## 事件响应 * 告警分流工作流 * 调查仪表板 * 分析师活动跟踪 * 自动化遏制行动 * 响应文档 # 架构概述 该实验室模拟了一个由多个安全层组成的现代 SOC 环境。 ## 监控层 * Splunk Enterprise * Grafana ## 自动化层 * n8n * VirusTotal * Slack ## 端点安全 * Sysmon * Sysmon-ng * LimaCharlie EDR * Splunk Universal Forwarder ## 网络安全 * pfSense * Suricata IDS ## Web 安全 * DVWA * ModSecurity * OWASP Core Rule Set ## 攻击模拟 * Gophish * Sliver C2 * Netcat * 自定义攻击工具 更多架构文档可在以下位置找到： - [架构图](architecture/) - [架构文档](docs/architecture.md) # 遥测流水线 该实验室从多个来源收集遥测数据，并在 Splunk 中实现集中可视化。 ## 端点遥测 ``` Windows 11 ├─ Sysmon ├─ Windows Event Logs ├─ LimaCharlie └─ Splunk Universal Forwarder ``` ## 网络遥测 ``` pfSense └─ Suricata IDS ``` ## Web 遥测 ``` DVWA └─ ModSecurity └─ OWASP CRS ``` ## 处理流程 ``` Telemetry Sources ↓ Splunk ↓ Custom Detections ↓ n8n ↓ Enrichment & Response ↓ Grafana ``` 详细的遥测文档： - [遥测流水线](docs/telemetry-pipeline.md) # 实验室基础设施 ## 攻击者系统 Ubuntu Linux 工具： * Gophish * Sliver C2 * Netcat * Python HTTP Server ## 受害者系统 Windows 11 已安装组件： * Sysmon * LimaCharlie Sensor * Splunk Universal Forwarder * Thunderbird 邮件客户端 ## 安全监控栈 * Splunk Enterprise * Grafana * n8n * VirusTotal * Slack ## 网络安全栈 * pfSense * Suricata IDS ## Web 安全栈 * DVWA * ModSecurity * OWASP CRS # 攻击模拟覆盖范围 该实验室模拟了跨越攻击生命周期多个阶段的现实攻击者活动。 ## 初始访问 * 钓鱼活动 * 恶意附件 * 用户交互 ## 执行 * PowerShell 滥用 * 命令执行 * 恶意进程启动 ## 凭证访问 * Mimikatz * ProcDump * LaZagne ## 发现 * 主机枚举 * 网络枚举 * 用户枚举 ## Web 攻击 * SQL 注入 * 跨站脚本攻击 (XSS) * 命令注入 ## 数据窃取 * Netcat * PowerShell * Curl * SCP # Splunk 检测工程 ## Windows 检测 * 用户登录失败 * 用户登录成功 ## 网络检测 * 暴力破解检测 * 可疑网络连接 ## Web 检测 * SQL 注入 * 跨站脚本攻击 (XSS) * 命令注入 ## Sysmon 检测 * 凭证转储工具执行 * 可疑的 PowerShell 执行 * 可疑的父子进程关系 * 后渗透侦察 * 数据窃取活动 检测文档： - [检测工程文档](detections/) # n8n SOAR 自动化 | 工作流 | 目的 | | -------------------------------- | ---------------------------------- | | SOC - ID 生成器 | 生成唯一的告警标识符 | | SOC - 告警接入 | 处理传入的告警 | | SOC - VirusTotal 富化 API | 威胁情报富化 | | SOC - 主机隔离行动 | 端点遏制 | | SOC - 告警活动 API | 分析师活动跟踪 | | SOC - 告警时间线 API | 调查时间线 | | SOC - 告警行动 API | 分析师行动 | | SOC - 告警仪表板 | 仪表板数据源 | | SOC - 告警仪表板 - 已过滤 | 仪表板过滤 | | SOC - 每日摘要机器人 | 每日报告 | 工作流导出： - [n8n 工作流文档](workflows/) # Grafana SOC 仪表板 ## SOC 告警仪表板 提供： * 告警队列 * 严重性跟踪 * 告警指标 * 告警生命周期可视化 * 分析师绩效指标 ## SOC 告警调查仪表板 提供： * 告警概览 * 资产上下文 * 威胁上下文 * 调查工作流 * 时间线跟踪 * SLA 监控 * 解决指标 仪表板导出： - [Grafana 仪表板文档](dashboards/) # 事件响应工作流 ``` Detection ↓ Alert Intake ↓ Alert Enrichment ↓ SOC Dashboard ↓ Analyst Investigation ↓ Containment ↓ Recovery ↓ Closure ``` 详细的工作流文档： - [事件响应工作流](docs/incident-response-workflow.md) # MITRE ATT&CK 映射 | 检测 | ATT&CK 技术 | | -------------------------------- | ---------------- | | 凭证转储 | T1003 | | 可疑的 PowerShell | T1059.001 | | 父子进程滥用 | T1059 | | 后渗透侦察 | T1082 | | 数据窃取 | T1041 | | SQL 注入检测 | T1190 | | 跨站脚本检测 | T1059 | | 命令注入检测 | T1059 | | 暴力破解检测 | T1110 | # 项目成就 * 构建了完整的 SOC 模拟环境 * 开发了自定义 Splunk 检测规则 * 使用 n8n 实现了 SOAR 式自动化 * 集成了 VirusTotal 威胁情报富化 * 创建了面向分析师的 Grafana 仪表板 * 通过 LimaCharlie 实现了主机隔离 * 使用 Gophish 模拟了钓鱼活动 * 使用 Sliver 模拟了命令与控制 (C2) 活动 * 构建了端到端的攻击检测工作流 * 将检测映射到 MITRE ATT&CK 技术 # 平台截图 ## SOC Grafana 仪表板  ## SOC 告警队列  ## SOC 告警接入工作流  ## 告警调查仪表板  ## n8n SOAR 工作流  # 经验教训 * 有效的检测需要高质量的遥测数据。 * 告警富化显著提高了调查速度。 * 自动化减少了分析师重复的工作量。 * 检测调优对于减少误报至关重要。 * 当关联多个遥测源时，安全可见性会得到提升。 * 端到端的攻击模拟揭示了孤立测试经常遗漏的盲点。 - [教训](docs/lessons-learned.md) # 仓库结构 ``` soc-automation-detection-engineering-lab ├── architecture/ ├── assets/ ├── dashboards/ ├── detections/ ├── docs/ ├── phishing-lab/ ├── screenshots/ ├── workflows/ └── README.md ``` # 未来改进 * 更多 Suricata 检测 * 威胁狩猎仪表板 * 检测即代码 实现 * 扩展的钓鱼模拟 * 恶意软件分析工作流 * 紫队 演练 * 更多 SOAR 剧本 * 更多威胁情报集成 # 相关文章 ## Medium 文章 * 我搭建了一个钓鱼实验室，终于搞懂了网络杀伤链 * 深入我的钓鱼模拟实验室：红队与蓝队的碰撞 更多项目文档： - [钓鱼实验室文档](phishing-lab/) # 免责声明 本项目仅出于教育和防御性安全目的而创建。 所有攻击模拟均在作者拥有和控制的独立实验室环境中进行。未对未经授权的系统进行任何测试。 ## 作者 **Harikrishnan P** 有志成为 SOC 分析师，专注于检测工程、安全监控、事件响应和安全自动化。 ### 与我联系 - GitHub: [Harikrishnan-P97](https://github.com/Harikrishnan-P97) - LinkedIn: [Harikrishnan P](https://www.linkedin.com/in/harikrishnanp097/) - Medium: [@harikrishnan.p097](https://medium.com/@harikrishnan.p097) ## 浏览仓库 | 部分 | 描述 | |----------|-------------| | [文档](docs/) | 实验室概述、架构、遥测流水线、事件响应工作流、经验教训 | | [检测](detections/) | Splunk 检测工程内容和检测逻辑 | | [工作流](workflows/) | n8n SOAR 工作流导出和文档 | | [仪表板](dashboards/) | Grafana 仪表板导出和仪表板文档 | | [钓鱼实验室](phishing-lab/) | 端到端钓鱼模拟项目和攻击链分析 | | [架构](architecture/) | 架构图和遥测流程图 |

标签：IP 地址批量处理, Metaprompt, TGT, 安全实验环境, 安全运营, 扫描框架, 攻防演练, 管理员页面发现, 网络信息收集