k0Arjun/Enterprise-Level-Threat-Detection-Lab

# 企业级威胁检测实验室 这是一个实践性的 SOC 实验室，用于模拟企业威胁检测与响应工作流。本项目展示了 SIEM 集成、自定义检测规则、事件响应手册，以及映射到 MITRE ATT&CK 的威胁狩猎。包含架构图、仪表板和日常报告，旨在演示从日志接入到可执行响应的安全运营全过程。 🏗️ 基础设施设置 ``` Windows Server: Active Directory, DNS, DHCP Linux Server: Web app + database pfSense Firewall: Perimeter security, VPN, IDS/IPS Endpoints: Windows & Linux clients Cloud Integration: AWS CloudTrail / Azure Security Center ``` 📂 详见 infrastructure/ 获取设置指南和配置。 📥 日志收集与 SIEM 集成 ``` Wazuh Manager deployed as SIEM Logs forwarded from: pfSense (firewall, VPN, IDS/IPS) Windows Event Logs (authentication, PowerShell, Sysmon) Linux syslogs (SSH, sudo, Apache/Nginx) Cloud logs (AWS/Azure) ``` 📂 详见 detection_rules/ 获取自定义规则。 🎭 威胁模拟 ``` Tools: Atomic Red Team, Caldera Simulated techniques: Phishing (malicious email logs) Brute-force login attempts Lateral movement in AD Data exfiltration via HTTP ``` 📂 详见 threat_hunting/ 获取已映射的狩猎。 🛡️ 检测工程 自定义 Wazuh 规则/解码器适用于： ``` Multiple failed logins Suspicious PowerShell commands Unauthorized firewall rule changes VPN misuse ``` 📂 详见 detection_rules/ 获取 YAML/JSON 规则。 🚨 事件响应手册 针对以下场景的逐步响应措施： ``` Malware infection Insider threat Ransomware activity Privilege escalation ``` 📂 详见 playbooks/ 获取详细的 Markdown 文档。 🔍 威胁狩猎 映射到 MITRE ATT&CK 的主动狩猎： ``` Persistence mechanisms (registry changes, scheduled tasks) Anomalous outbound traffic Privilege escalation attempts ``` 📂 详见 threat_hunting/ 获取报告。 📊 仪表板与报告 ``` Dashboards: Authentication trends, firewall traffic, malware timeline Reports: Daily SOC reports, compliance mapping (PCI DSS, HIPAA, GDPR) ``` 📂 详见 dashboards/ 和 reports/。 🖼️ 架构图 [看起来结果似乎不安全，无法展示。让我们换个思路尝试点别的！]

标签：AMSI绕过, SIEM系统, Wazuh, 威胁检测, 安全实验环境, 安全运营, 库, 应急响应, 扫描框架