0xchandru/SOC-Home-Lab

## 作品集概述 本仓库展示了如何调查安全警报，涵盖从初始分类、证据关联、ATT&CK 映射、响应规划到最终报告的全过程。 重点不仅在于运行工具。每个案例都记录了： - 遥测数据直接证明了什么 - 如何关联来自多个来源的证据 - 哪些结论属于分析师评估 - 缺失了哪些证据 - 为什么最终结论是站得住脚的 ## 调查路线图 | # | 调查 | MITRE ATT&CK | 严重性 | 状态 | 案卷 | |---:|---|---|---|---|---| | 01 | 可疑 IP 信誉 / PowerShell HTTP 回调 | T1059.001 / T1071.001 | 低 | **已完成** | [案例报告 →](investigations/01-suspicious-ip-reputation/) | | 02 | 暴力破解登录检测 | T1110 | 高 | **进行中** | [处理中案件 →](investigations/02-brute-force-login/) | | 03 | 恶意软件 Hash 分析 | T1059 / T1204 | 中 | 已计划 | — | | 04 | 恶意 PowerShell 执行 | T1059.001 | 高 | 已计划 | — | | 05 | 计划任务持久化 | T1053.005 | 高 | 已计划 | — | | 06 | 注册表持久化 | T1547 | 高 | 已计划 | — | | 07 | 横向移动 (SMB/PsExec) | T1021.002 | 严重 | 已计划 | — | | 08 | DNS 隧道 / 数据泄露 | T1071.004 | 严重 | 已计划 | — | | 09 | 勒索软件模拟 | T1486 | 严重 | 已计划 | — | | 10 | 无文件攻击 (LotL) | T1218 / T1036 | 严重 | 已计划 | — | | 11 | 凭据转储 (Mimikatz) | T1003.001 | 严重 | 已计划 | — | | 12 | 钓鱼邮件调查 | T1566.001 | 高 | 已计划 | — | | 13 | Web Shell 检测 | T1505.003 | 严重 | 已计划 | — | | 14 | 数据泄露 (HTTP/HTTPS) | T1041 | 严重 | 已计划 | — | | 15 | 权限提升 (Token) | T1134 | 严重 | 已计划 | — | | 16 | 无文件恶意软件检测 | T1620 | 严重 | 已计划 | — | | 17 | 可疑服务安装 | T1543.003 | 严重 | 已计划 | — | | 18 | Kerberoasting / 黄金票据 (Golden Ticket) | T1558 | 严重 | 已计划 | — | | 19 | 完整杀伤链调查 | 多项 | 严重 | 已计划 | — | | 20 | SOC 工作流 (端到端) | 多项 | 混合 | 已计划 | — | **状态说明：** **已完成** = 完整记录 · **进行中** = 正在调查 · 已计划 = 路线图项目 ## 审阅者可以验证的内容 | SOC 能力 | 本仓库中的证据 | |---|---| | 警报分类 | 优先级排序的发现、案例范围以及记录的升级决策 | | 日志分析 | Windows 安全事件、Sysmon 进程/网络事件以及 Zeek 连接元数据 | | Splunk SPL | 检测搜索、分类查询、事件枢纽、关联和风险评分 | | 调查方法 | 证据时间线、跨源验证以及明确说明的置信度限制 | | 检测工程 | 具有阈值和面向分析师输出的可重用检测逻辑 | | 端点调查 | Sysmon 进程关联和 Velociraptor 实时响应查询 | | 网络分析 | Zeek 对连接状态、时间、端口和字节交换的验证 | | 事件记录 | 执行摘要、ATT&CK 映射、IOC 注释、响应计划和工单草稿 | ## 实验室架构 [](lab-architecture/) | 层级 | 平台与用途 | |---|---| | 分析师与模拟主机 | 用于实验室管理、受控模拟和 Splunk 分析的 Linux Mint 主机 | | 安全服务器 | 运行 Splunk、Zeek 和 Velociraptor Server 的 Ubuntu Server | | 受监控端点 | 配备 Sysmon、Splunk Universal Forwarder、Velociraptor Agent 和 PowerShell 日志记录的 Windows 虚拟机 | | 工作流工具 | 用于警报、工单和通知工作流的 Shuffle SOAR、Jira 和 Slack | **遥测数据流：** `Windows 端点` → `Splunk / Zeek / Velociraptor` → `分类` → `调查` → `响应规划` → `案卷记录` [查看架构细节和 Splunk 仪表板](lab-architecture/)。 ## 技术栈 | 类别 | 工具与技术 | |---|---| | SIEM 与分析 | Splunk Enterprise、Splunk SPL | | 端点遥测 | Sysmon、Windows 安全日志、PowerShell 日志记录 | | 网络遥测 | Zeek | | 端点响应 | Velociraptor | | 工作流展示 | Shuffle SOAR、Jira、Slack | | 平台 | Linux Mint、Ubuntu Server、Windows | | 安全框架 | MITRE ATT&CK | ## 调查规范 每个案例都遵循一致且适合面试的结构： ``` investigations/XX-investigation-name/ ├── README.md # Executive summary, findings, and verdict ├── timeline.md # Evidence-backed event chronology ├── mitre-mapping.md # ATT&CK mapping tied to observed behavior ├── queries/ │ └── splunk-queries.spl # Detection, triage, and scoping SPL ├── evidence/ │ └── screenshots/ # Visual investigation evidence └── artifacts/ # Raw events, IOC notes, VQL, and response records ``` ### 证据原则 1. 主张链接到包含的证据，或被标记为分析师评估。 2. 记录缺失的遥测数据和置信度限制。 3. ATT&CK 映射与观察到或有意模拟的行为相关联。 4. 推荐的操作在没有证据的情况下，不得呈现为已完成的操作。 ## 仓库导航 | 位置 | 用途 | |---|---| | [调查案例库](investigations/) | 正在进行的调查、能力覆盖范围以及 20 个案例的路线图 | | [案例 01：可疑的出站 PowerShell](investigations/01-suspicious-ip-reputation/) | 已完成的多源调查 | | [案例 02：暴力破解登录](investigations/02-brute-force-login/) | 正在进行的身份验证安全事件调查 | | [实验室架构](lab-architecture/) | 环境设计、遥测数据流和仪表板 | ## 当前开发重点 - 完成案例 02 的身份验证后范围界定和响应证据。 - 扩大对持久化、横向移动、凭据访问、数据泄露和完整杀伤链场景的调查覆盖范围。 - 随着实验室的成熟，继续改进检测逻辑和证据质量。

标签：AI合规, BurpSuite集成, OpenCanary, 安全实验环境, 安全运营, 扫描框架, 搜索语句（dork）, 管理员页面发现