asvin00/SoC-Threat-Hunting
GitHub: asvin00/SoC-Threat-Hunting
一个基于 Splunk SIEM 的教育性 SOC 模拟平台,用于学习安全监控、威胁检测与事件调查的完整实验项目。
Stars: 0 | Forks: 0
# 🛡️ 基于 Splunk 的 SOC 与 Threat Hunting 平台
## 完整的教育性 Cybersecurity 项目
一个使用 Splunk SIEM 构建的**功能完备的安全运营中心 (SOC)** 模拟平台,用于学习 SIEM 操作、Threat Detection 和 Incident Investigation。
## 📋 项目概述
本项目通过构建完整的安全监控环境来演示真实的 SOC 操作,该环境具有以下特点:
- **集中式日志收集** - Splunk SIEM 汇总来自 Windows 端点的日志
- **端点监控** - Sysmon 跟踪进程执行、网络连接和文件操作
- **实时检测** - 针对常见攻击模式的 6+ 条检测规则
- **Threat Hunting** - 主动搜索隐藏的攻击者
- **MITRE ATT&CK 映射** - 将检测结果与行业标准框架对齐
- **安全自动化** - 用于持续扫描和集成的 Python 脚本
- **交互式仪表板** - 实时的安全可见性
## 🏗️ 架构
```
┌─────────────────────────────────────────────────────────────┐
│ NETWORK: 192.168.56.0/24 │
├─────────────────────────────────────────────────────────────┤
│ │
│ ┌──────────────────┐ ┌────────────────────────┐ │
│ │ Ubuntu-Splunk │ │ Windows-Endpoint │ │
│ │ 192.168.56.10 │◄────────│ 192.168.56.20 │ │
│ │ │ (logs) │ │ │
│ │ • Splunk SIEM │ │ • Sysmon │ │
│ │ • Port 8000 │ │ • Universal Forwarder │ │
│ │ • Indexes: │ │ • Port 9997 │ │
│ │ - security │ │ │ │
│ │ - windows │ │ Sends logs every 30s │ │
│ │ - main │ │ │ │
│ └──────────────────┘ └────────────────────────┘ │
│ ▲ │
│ │ (searches/analysis) │
│ │ │
│ ┌──────┴──────────┐ │
│ │ Kali-Attacker │ │
│ │ 192.168.56.30 │ │
│ │ │ │
│ │ • Nmap scans │ │
│ │ • Attack sims │ │
│ │ • Pen testing │ │
│ └─────────────────┘ │
│ │
└─────────────────────────────────────────────────────────────┘
```
## 📁 仓库结构
```
SoC-Threat-Hunting/
├── README.md # This file
├── ARCHITECTURE.md # Detailed architecture
│
├── 📂 00-Fundamentals/
│ ├── README.md # Concepts guide
│ └── concepts-glossary.md # Definitions
│
├── 📂 01-Environment-Setup/
│ ├── README.md
│ ├── vm-setup-checklist.md
│ ├── ubuntu-netplan-config.yaml
│ ├── windows-network-setup.ps1
│ └── kali-network-setup.sh
│
├── 📂 02-Splunk-Installation/
│ ├── README.md
│ ├── splunk-install.sh
│ ├── inputs.conf
│ ├── outputs.conf
│ └── indexes.conf
│
├── 📂 03-Sysmon-Installation/
│ ├── README.md
│ ├── sysmonconfig-export.xml
│ └── sysmon-install.ps1
│
├── 📂 04-Splunk-Forwarder/
│ ├── README.md
│ ├── forwarder-install.ps1
│ ├── inputs.conf
│ └── outputs.conf
│
├── 📂 05-Log-Analysis/
│ ├── README.md
│ ├── basic-searches.txt
│ └── search-macros.conf
│
├── 📂 06-Detection-Engineering/
│ ├── README.md
│ ├── detection-rules.json
│ └── rules/
│
├── 📂 07-Threat-Hunting/
│ ├── README.md
│ └── hunting-queries.txt
│
├── 📂 08-Mitre-Mapping/
│ ├── README.md
│ └── mitre-mapping.json
│
├── 📂 09-Dashboards/
│ ├── README.md
│ ├── soc-overview-dashboard.json
│ └── threat-hunting-dashboard.json
│
├── 📂 10-Attack-Simulation/
│ ├── README.md
│ └── brute-force-simulation.sh
│
├── 📂 11-Python-Automation/
│ ├── README.md
│ ├── nmap-splunk-integration.py
│ └── requirements.txt
|
├── 📂 Configuration-Files/
│ ├── network-configs/
│ ├── splunk-configs/
│ └── endpoint-configs/
│
├── 📂 Documentation/
│ ├── ARCHITECTURE.md
│ ├── SETUP-GUIDE.md
│ ├── TROUBLESHOOTING.md
│
└── LICENSE
```
## 🚀 快速开始
### 前置条件
- 已安装 VirtualBox
- 最低 8GB RAM
- 100GB 可用磁盘空间
- Ubuntu 26.04 LTS, Windows 11, Kali Linux ISOs
### 执行顺序
1. **Phase 0**: 学习基础知识
2. **Phase 1**: 设置 VM 和网络
3. **Phase 2**: 安装 Splunk SIEM
4. **Phase 3**: 在 Windows 上安装 Sysmon
5. **Phase 4**: 配置 Splunk Forwarder
6. **Phase 5**: 运行基础日志分析
7. **Phase 6**: 创建检测规则
8. **Phase 7**: 开展 Threat Hunting
9. **Phase 8**: 映射到 MITRE ATT&CK
10. **Phase 9**: 构建仪表板
11. **Phase 10**: 模拟攻击
12. **Phase 11**: 运行 Python 自动化
13. **Phase 12**: 完善文档
## 📊 核心功能
✅ **12 个综合阶段** 并附带分步指南
✅ **50+ 个 Splunk 搜索** 用于检测和 Hunting
✅ **6 条检测规则** 涵盖主要攻击类型
✅ **3 个交互式仪表板** 用于实时监控
✅ **Python 自动化脚本** 用于执行安全任务
✅ **完整的配置文件** 开箱即用
✅ **故障排除指南** 针对常见问题
## 📈 获得的技能
- ✅ SIEM 管理
- ✅ 日志分析与关联
- ✅ Detection Engineering
- ✅ Threat Hunting
- ✅ Incident Investigation
- ✅ Windows 安全监控
- ✅ 安全自动化
- ✅ MITRE ATT&CK 框架
## 📚 文档文件
- **[ARCHITECTURE.md](Documentation/ARCHITECTURE.md)** - 系统设计
- **[SETUP-GUIDE.md](Documentation/SETUP-GUIDE.md)** - 安装指南
- **[TROUBLESHOOTING.md](Documentation/TROUBLESHOOTING.md)** - 常见问题
## ⏱️ 预计时间表
- **总时间:15-18 小时** (完整项目)
- Phase 0-2:4-5 小时(设置)
- Phase 3-5:2-3 小时(配置)
- Phase 6-9:4-5 小时(检测)
- Phase 10-12:3-5 小时(自动化与收尾)
## 📞 支持
1. 查看 **[TROUBLESHOOTING.md](Documentation/TROUBLESHOOTING.md)**
2. 阅读特定阶段的 README 文件
3. 查看 **[参考文档](References/)** 获取更多资料
## 📝 License
MIT License - 查看 [LICENSE](LICENSE) 文件
**状态:已完成并准备好部署** ✅
*包含构建专业 SOC 实验室以学习 Cybersecurity 操作所需的所有材料。*
标签:DNS 反向解析, IP 地址批量处理, Sysmon, 安全运营, 扫描框架, 知识库安全, 网络安全, 逆向工具, 隐私保护