Anusha-3113/Intelligent-SOC-Automation-Threat-Hunting-Platform

# 智能 SOC 自动化与威胁狩猎平台 ## 概述 智能 SOC 自动化与威胁狩猎平台是一个企业级的安全运营中心 (SOC) 解决方案，旨在自动化安全监控、威胁检测、事件调查、威胁情报富化和响应工作流。 该平台集中收集来自多个源的日志，使用 Splunk SIEM 执行实时安全分析，利用威胁情报源丰富入侵指标 (IOC)，将检测结果映射到 MITRE ATT&CK 框架，并使用基于 Python 的 SOAR 工作流自动化事件响应操作。 本项目模拟了现代企业 SOC 环境，并展示了在安全运营、检测工程、威胁狩猎、事件响应、威胁情报和安全自动化方面的实践技能。 ## 主要功能 * 集中式日志收集与监控 * 基于 Splunk 的 SIEM 部署 * 实时威胁检测与告警 * 自定义 SPL 检测工程 * 威胁情报富化 * MITRE ATT&CK 映射 * 自动化 IOC 分析 * 安全事件分类 * 威胁狩猎手册 * 基于 Python 的 SOAR 自动化 * 安全仪表板与报告 ## 业务问题 现代安全运营中心每天从各种安全技术（包括防火墙、EDR 解决方案、操作系统和网络设备）接收数千个告警。 安全分析师通常会在以下方面花费过多时间： * 手动告警验证 * 威胁情报查询 * 事件优先级排序 * IOC 富化 * 重复的响应任务 该项目旨在通过自动化减少分析师的工作量，同时提高检测准确率和事件响应效率。 ## 架构 ``` Windows Endpoint (Sysmon) │ ▼ Ubuntu Server (Splunk SIEM) │ ▼ Detection Engine (SPL Rules) │ ▼ Threat Intelligence Enrichment (VirusTotal, AbuseIPDB) │ ▼ MITRE ATT&CK Mapping │ ▼ SOC Dashboard │ ▼ Python SOAR Automation ``` ## 技术栈 ### SIEM * Splunk Enterprise (免费版) ### 终端监控 * Sysmon * Windows 事件日志 ### Linux 监控 * Auditd * Syslog ### 威胁情报 * VirusTotal API * AbuseIPDB API * AlienVault OTX ### 检测工程 * Splunk SPL * Sigma 规则 ### 威胁狩猎 * MITRE ATT&CK 框架 * ATT&CK Navigator ### 自动化 * Python * REST API ### 虚拟化 * VirtualBox ### 版本控制 * Git & GitHub ## 实验环境 ### Splunk 服务器 | 资源 | 配置 | | -------- | ------------------- | | 操作系统 | Ubuntu Server 22.04 | | 内存 | 4 GB | | CPU | 2 vCPU | | 存储 | 50 GB | ### 终端机器 | 资源 | 配置 | | -------- | ------------- | | 操作系统 | Windows 10 | | 内存 | 4 GB | | CPU | 2 vCPU | | 存储 | 50 GB | ## 项目模块 ### 1. 日志收集与监控 收集并标准化了来自以下来源的日志： * Windows 安全事件 * Sysmon 日志 * Linux 审计日志 * 身份验证日志 * 进程创建事件 * 网络连接 ### 2. 检测工程 为以下内容开发了自定义 Splunk 检测： * 暴力破解攻击 * 账户锁定 * 可疑的 PowerShell 活动 * 权限提升尝试 * SQL 注入尝试 * 命令执行监控 ### 3. 威胁情报富化 集成了外部情报源以丰富： * IP 地址 * 域名 * URL * 文件哈希 数据源： * VirusTotal * AbuseIPDB * AlienVault OTX ### 4. MITRE ATT&CK 映射 将检测映射到 ATT&CK 技术，包括： | 检测 | ATT&CK ID | | ----------------- | --------- | | 暴力破解 | T1110 | | PowerShell 滥用 | T1059 | | 凭据访问 | T1003 | | 横向移动 | T1021 | | DNS 隧道 | T1071 | ### 5. 威胁狩猎 为以下内容实现了狩猎查询： * DNS 隧道 | 命令与控制活动 * 横向移动 * 凭据滥用 * 可疑的身份验证活动 ### 6. SOAR 自动化 为以下内容实现了自动化工作流： * IOC 富化 * 威胁评分 * 告警优先级排序 * 事件通知 * 自动化响应操作 ## 检测用例示例 ### 暴力破解检测 ``` index=windows EventCode=4625 | stats count by src_ip | where count > 10 ``` ### 可疑的 PowerShell 活动 ``` index=sysmon EventCode=1 powershell.exe ``` ### 账户锁定检测 ``` index=windows EventCode=4740 ``` ## 威胁狩猎用例 ### DNS 隧道 ``` index=dns | stats count by query | where count > 100 ``` ### 横向移动 ``` index=windows EventCode=4624 Logon_Type=3 ``` ## 安全指标 该平台追踪： ### 检测指标 * 安全告警总数 * 真阳性 * 假阳性 * 检测覆盖率 ### SOC 指标 * 平均检测时间 (MTTD) * 平均响应时间 (MTTR) ### 事件指标 * 恶意软件事件 * 钓鱼事件 * 凭据攻击 * 权限提升事件 ## 仓库结构 ``` SOC-Automation-Platform/ │ ├── README.md │ ├── Architecture/ │ └── architecture.png │ ├── Detections/ │ ├── brute_force.spl │ ├── powershell_detection.spl │ ├── account_lockout.spl │ ├── Threat-Hunting/ │ ├── dns_tunneling.spl │ ├── lateral_movement.spl │ ├── Automation/ │ ├── virustotal_lookup.py │ ├── abuseipdb_lookup.py │ ├── Dashboards/ │ └── soc_dashboard.json │ └── Screenshots/ ## 未来增强 * Machine Learning Based Alert Prioritization * User and Entity Behavior Analytics (UEBA) * CrowdStrike Integration * Endpoint Isolation Automation * Malware Sandbox Integration * Cloud Security Monitoring * Kubernetes Security Monitoring ```

标签：SOAR, SOC自动化, 子域名变形, 安全运营, 扫描框架, 网络安全研究, 逆向工具