ActuallyEddie/Soc-automation-project

# SOC 自动化项目 ## 概述 本项目模拟了一个安全运营中心 (SOC) 环境，该环境可监控 Windows 端点、检测恶意活动、通过威胁情报丰富警报、自动在 TheHive 中创建事件，并通过自动化工作流发送分析师通知。  ## 使用的工具 - Microsoft Azure - Wazuh - Sysmon - Shuffle SOAR - VirusTotal - TheHive - Cassandra - Elasticsearch ## 我构建的内容 - 在 Azure 中部署云基础设施 - 将 Windows 端点连接到 Wazuh - 为 Mimikatz 活动创建了自定义检测规则 - 使用 VirusTotal 自动化威胁情报查询 - 自动在 TheHive 中创建事件 - 发送自动化邮件通知 ## 架构 Windows 11 虚拟机 → Sysmon → Wazuh Agent → Wazuh Manager → Shuffle → VirusTotal → TheHive → 邮件通知 ## 展示的核心技能 - 云管理 - 安全监控 - 日志分析 - 检测工程 - SOAR 自动化 - 事件响应 - 故障排除 ## 文档 - [SOC 自动化项目](docs/SOC%20Automation%20Project.pdf) - [详细故障排除指南](docs/Detailed%20Troubleshooting.pdf) ## 解决的关键挑战 ### Cassandra 网络问题 - Cassandra 反复初始化失败且无法加入集群。 - 排查了服务状态、集群健康状况和网络配置。 - 发现 Cassandra 被配置为使用 Azure 公网 IP，而不是私有 VNet 地址。 - 更新了网络设置并恢复了集群功能。 ### Elasticsearch 通信故障 - TheHive 无法与 Elasticsearch 进行通信。 - 审查了服务日志和连接测试。 - 确定是 Elasticsearch 的安全自动配置阻止了通信。 - 修改了配置并验证了 TheHive 与 Elasticsearch 之间的成功通信。 ### 自定义检测规则调试 - Mimikatz 活动出现在 Wazuh 归档中，但未能生成警报。 - 分析了遥测数据、字段映射和检测规则逻辑。 - 发现了自定义规则中的正则表达式错误。 - 纠正了检测逻辑并验证了警报生成。 ### VirusTotal 集成故障排除 - 在工作流执行期间，VirusTotal 查询返回错误。 - 排查了 Shuffle 工作流输出和 API 请求。 - 确定工作流传递了数组，而不是提取出的 SHA256 哈希值。 - 纠正了变量映射并恢复了威胁情报富化。 ## 最终结果 成功构建了一个基于云的 SOC 自动化环境，能够： - 监控 Windows 端点活动 - 收集 Sysmon 遥测数据 - 检测 Mimikatz 凭据转储活动 - 使用 VirusTotal 威胁情报丰富警报 ## 截图 ### Azure 基础设施  ### 端点监控  ### Sysmon 遥测  ### 自定义检测规则  ### Mimikatz 检测  ### Shuffle 工作流  ### VirusTotal 富化  ### TheHive 警报创建  - 自动生成 TheHive 事件 - 发送自动化的分析师通知

标签：CIDR查询, PB级数据处理, SOAR, TheHive, Wazuh, 安全运维, 安全运营中心, 端点检测与响应, 网络映射, 脱壳工具, 速率限制