wilfredamimo30-ui/Threat-Intel-Attack-Simulation-Lab

企业 SOC 威胁情报与攻击模拟实验室 概述 本项目记录了一个功能完备的安全运营中心 (SOC) 实验室环境的设计、部署、集成和验证过程，该环境完全从头开始构建，并采用了业界标准的安全技术。 本项目的目标是创建一个真实的 SOC 环境，能够实现： - 威胁情报管理 - 安全监控 - 检测工程 - 对手模拟 - 端点遥测收集 - IOC 扩充 - 横向移动测试 该实验室成功地将 MISP、Splunk Enterprise、CALDERA、Infection Monkey、Windows Event Logging 和 Docker 集成到了一个单一的安全运营工作流中。 使用的技术 技术| 用途 Splunk Enterprise| SIEM 与安全分析 MISP| 威胁情报平台 CALDERA| MITRE ATT&CK 对手模拟 Infection Monkey| 横向移动与违规模拟 Docker| 容器化部署 Windows 10| 端点目标系统 Splunk Universal Forwarder| 日志收集 Kali Linux| 安全运营平台 实验室架构 CALDERA / Infection Monkey │ ▼ Windows 10 端点 │ ▼ Splunk Universal Forwarder │ ▼ Splunk Enterprise │ ▼ 检测规则 │ ▼ MISP 情报 │ ▼ 安全调查 项目目标 - 部署和配置 MISP 威胁情报平台 - 部署 Splunk Enterprise SIEM - 配置 Windows 日志收集 - 集成 MISP 与 Splunk - 使用 CALDERA 模拟攻击 - 开发自定义检测规则 - 验证从攻击到检测的工作流 - 使用 Infection Monkey 测试网络弹性 主要成果 威胁情报平台 - 使用 Docker 成功部署 MISP - 验证了 IOC 管理能力 - 测试了 MISP REST API 功能 - 将威胁情报与 Splunk 集成 SIEM 部署 - 成功部署 Splunk Enterprise - 配置了集中式日志收集 - 接入 Windows 安全事件日志 - 启用了安全监控和告警 检测工程 开发并验证了自定义检测： - CALDERA Agent 检测 - 可疑进程执行检测 - 用户枚举检测 - 可疑进程链检测 对手模拟 使用 CALDERA 执行了多种 MITRE ATT&CK 技术，包括： - 用户发现 - 进程发现 - 安全产品发现 - 组枚举 - 系统信息发现 横向移动测试 - 成功部署 Infection Monkey - 测试了端点发现 - 评估了网络可见性和弹性 端到端 SOC 验证 成功演示了从攻击到检测的完整 pipeline。 工作流 1. 使用 CALDERA 模拟攻击 2. 生成 Windows 安全事件 3. Splunk Universal Forwarder 收集遥测数据 4. Splunk 对安全事件进行索引 5. 检测规则成功触发 6. MISP 使用 IOC 数据扩充调查 这验证了从对手活动到检测和调查的真实 SOC 工作流。 截图 MISP 部署 在此处添加 MISP 截图。 Splunk 监控 在此处添加 Splunk 截图。 CALDERA 操作 在此处添加 CALDERA 截图。 检测工程 在此处添加检测截图。 Infection Monkey 在此处添加 Infection Monkey 截图。 技术挑战 在整个项目中，遇到了并解决了许多部署和集成挑战，包括： - 操作系统兼容性问题 - PHP 依赖冲突 - Docker 部署故障排除 - 威胁情报集成问题 - Splunk 配置挑战 - 虚拟机网络问题 解决这些问题为企业级安全技术提供了宝贵的实践经验。 经验教训 - 稳定性比使用最新的软件版本更重要。 - Docker 显著简化了复杂的部署。 - 有效的故障排除是一项关键的网络安全技能。 - 威胁情报增强了调查能力。 - 检测工程需要持续的测试和验证。 - 文档对于成功的安全运营至关重要。 文档 完整的项目报告可在仓库的文档文件夹中找到。 /docs/Wilfred_Amimo_SOC_Lab_Report.pdf 作者 Wilfred Amimo SOC 分析师 | 威胁情报 | 检测工程 | 安全监控 肯尼亚，内罗毕 免责声明 本项目是在受控的实验室环境中进行的，仅出于教育、研究和防御性网络安全目的。

标签：IP 地址批量处理, Shodan, SOC实验室, XXE攻击, 威胁情报, 安全运营, 开发者工具, 扫描框架, 攻击模拟, 管理员页面发现, 请求拦截, 驱动签名利用