tryhackmeacct-netizen/Advanced-SOC-Threat-Hunting-Lab-
GitHub: tryhackmeacct-netizen/Advanced-SOC-Threat-Hunting-Lab-
一个企业级安全运营与威胁狩猎实验室,通过 pySigma 检测引擎和 Sigma 规则集成实现自动化的威胁检测、告警生成与响应工作流。
Stars: 1 | Forks: 0
# 高级 SOC 威胁狩猎实验室
一个模块化、渐进式构建的安全运营中心 (SOC) 平台,用于演示真实的威胁检测、富化和响应工作流。
## 当前状态
**阶段 3:检测引擎与 pySigma 集成** ✅ 完成
- Sigma 规则解析与转换(pySigma + 自定义字段映射)
- 支持试运行的检测引擎(已验证 8 条检测规则)
- 自动化告警生成与 MongoDB 持久化
- 针对带有相关性条件规则的遗留谓词回退
- 具备一致性验证的全面测试套件(8/8 规则匹配)
**阶段 4:MITRE ATT&CK 映射与 SOC 仪表盘** 🔄 进行中
## 快速开始
### 前置条件
- Python 3.11+
- Docker & Docker Compose(用于 OpenSearch/MongoDB)
### 设置(后端)
```
# 创建虚拟环境
python -m venv .venv
.venv\Scripts\Activate.ps1 # Windows
# 安装依赖
pip install -r backend/requirements.txt
```
### 运行检测引擎(试运行)
```
# 验证所有 8 条规则匹配样本事件
python backend/tests/test_sigma_pysigma_integration.py
```
预期输出:
```
legacy_matches_count 8
Parity OK: legacy predicate matched all 8 rules
```
## 架构
```
backend/
app/
core/
config.py # pydantic v2 BaseSettings
services/
detection_engine.py # Rule execution, alert generation
sigma_converter.py # pySigma integration + fallback
sigma_pipeline.py # Field mapping, processing pipeline
tests/
test_sigma_pysigma_integration.py # Parity validation
sigma-rules/
*.yml # 8 sample Sigma detection rules
sample-logs/
mixed_events.json # Synthetic test events
```
## 阶段 3:pySigma 集成摘要
### 字段映射 (sigma_pipeline.py)
将 Sigma 原生字段名映射到标准化的类 ECS 字段:
```
{
"event_id": "event.id", # Critical for all 8 rules
"Image": "process.name",
"CommandLine": "process.command_line",
"TargetUserName": "user.name",
...
}
```
### 已知限制
**pySigma Lucene 后端:**
- 相关性条件(例如,`count(selection) by source.ip > 5`)无法转换为 Lucene 查询
- **解决方法:** 回退到传统的 Python 谓词匹配(保证 100% 覆盖率)
- 所有 8 个示例规则已通过谓词回退验证,达到 8/8 的一致性
**测试结果:**
- ✅ parity_test.py:8/8 规则匹配(传统谓词基线)
- ✅ 字段映射:已添加 event_id、event.action、script_block_text
- ✅ Pydantic v2 兼容性:BaseSettings 从 pydantic_settings 导入
## 测试
```
# Parity 验证(predicate 对比 pySigma)
python backend/tests/test_sigma_pysigma_integration.py
# 诊断:检查 brute_force_windows.yml 的 pySigma 转换
python scripts/comprehensive_diagnostic.py
# 扫描所有规则以查看 8 条规则中的字段使用情况
python scripts/scan_all_fields.py
```
## 阶段 4:后续步骤
1. MITRE ATT&CK 覆盖映射(战术/技术热图)
2. 威胁情报富化(VirusTotal API,IOC 数据库)
3. 带有检测分析的 SOC 仪表盘
4. 事件响应自动化剧本
## 参考
- [Sigma 规则](https://github.com/SigmaHQ/sigma)
- [pySigma](https://github.com/SigmaHQ/pySigma)
- [MITRE ATT&CK](https://attack.mitre.org/)
- [ECS 字段](https://www.elastic.co/guide/en/ecs/current/index.html)
标签:ELK Stack, Python, Wazuh, 安全运营中心, 无后门, 检测引擎, 网络映射, 请求拦截, 逆向工具