M-Y-F-A/Enterprise-SOC-Monitoring-Incident-Response-Lab

# 企业 SOC 监控与事件响应家庭实验室 一个专业的 SOC 家庭实验室，旨在跨真实的端到端攻击链模拟企业级安全监控、检测工程和事件响应。 ## SOC 实验室目标 该实验室展示了一个实用的蓝队环境，主要侧重于： - 从外部访问到内部域控沦陷的端到端攻击模拟 - 集中式遥测收集和基于 SIEM 的检测工程 - 与 SOC 运营相一致的事件调查和响应工作流 - 将安全事件映射到 MITRE ATT&CK 技术以进行结构化分析 ## 攻击流程 **Kali Linux (AWS) → OpenVPN → Windows 10 → Active Directory → Splunk SIEM** 1. **Kali Linux (AWS)：** 外部攻击者模拟主机 2. **OpenVPN：** 进入内部实验室网络的安全加密隧道 3. **Windows 10 端点：** 初始沦陷目标和遥测源 4. **Active Directory (Windows Server)：** 身份管理和域控制平面 5. **Splunk SIEM：** 集中式日志记录、关联、检测和调查 ## 架构概述 该实验室模拟了一个具备完整 SOC 可见性的分段企业环境： - 通过 VPN 控制外部访问以进入隔离的内部网络 - 加入 Active Directory 域的 Windows 端点 - 将安全和端点遥测转发至 Splunk SIEM - 与 ATT&CK 框架保持一致的检测工程 ### 关键参考 - `/architecture` - `/docs` - `/splunk` ## 数据源（遥测） 该实验室收集并分析以下安全数据源： - Windows 安全事件日志（身份验证、登录事件） - Sysmon（进程创建、网络连接、文件活动） - VPN 日志（远程访问和身份验证活动） - Active Directory 身份验证事件 - Splunk 接收的标准化事件数据 ## 使用的工具 - **Splunk SIEM** – 检测、关联、仪表板和调查 - **Windows Server Active Directory** – 身份和身份验证骨干 - **Sysmon** – 详细的端点遥测可见性 - **OpenVPN** – 安全远程访问模拟 - **VMware** – 虚拟化和网络分段 ## 检测用例 该实验室侧重于与 SOC 相关的检测场景： - **暴力破解活动**（多次身份验证失败尝试） - **横向移动**（远程服务执行、管理共享访问） - **身份验证异常**（不可能的漫游、异常登录类型） - **可疑的进程执行**（父子进程异常） 详细内容在以下文件中实现： - `/docs/detection-use-cases.md` - `/splunk/detection-rules.md` ## MITRE ATT&CK 映射 该实验室将检测和行为映射到 ATT&CK 技术： - **T1110** – 暴力破解 - **T1021** – 远程服务（横向移动） - **T1078** – 有效账户 - **T1550** – 使用备用身份验证材料 此映射用于标准化检测工程和事件分析。 ## 未来改进 - 通过检测成熟度评分扩展 ATT&CK 覆盖矩阵 - 添加自动化对手模拟以进行可重复的攻击测试 - 集成其他数据源（DNS、代理、防火墙、EDR） - 构建具有基于严重性工作流的事件响应剧本 - 引入基线行为分析和误报调优 ## 仓库结构 - `/architecture` – 网络拓扑和架构图 - `/docs` – 文档、检测用例和日志设计 - `/infra` – VMware 设置、IP 规划和网络配置 - `/splunk` – 检测规则、仪表板和配置 - `/windows` – Sysmon 和事件日志配置 - `/openvpn` – VPN 配置和设置指南 - `/attack-simulation` – 攻击场景和模拟脚本 - `/screenshots` – 仪表板和告警的证据 - `/diagrams` – 可视化架构和攻击流程图

标签：AMSI绕过, XXE攻击, 威胁检测, 安全运营中心, 实验环境, 红队行动, 网络映射