suhasamarnath/SOC-Fusion-Center

GitHub: suhasamarnath/SOC-Fusion-Center

一个端到端 SOC 安全运营项目，通过 Zui 对 PsExec 横向移动攻击进行取证分析并编写自定义 Sigma 检测规则。

Stars: 1 | Forks: 0

# SOC 融合中心：端到端安全运营作品集 ## 项目使命这个旗舰作品集项目模拟了企业安全运营中心 (SOC) 内部执行的高级分类、取证分析和检测工程工作。通过利用零开销架构，该项目评估高保真威胁数据集，以映射对手行为、提取妥协指标 (IOC) 并构建企业级检测逻辑。 ## 案例研究 001：PsExec 横向移动与权限提升 ### 1. 事件概述触发了一个高危告警，指示在关键工作站上存在潜在的基于网络的横向移动和未经授权的管理执行。使用 **Zui (Zed User Interface)** 启动了数据优先的取证调查，以分析结构化的 JSON 端点事件日志并追踪对手的行为。 ### 2. 取证时间线与证据映射按时间顺序解析日志，以重建针对该主机的攻击链： | 时间戳 (UTC) | 事件 ID | 日志提供程序 / 通道 | 关键事件属性与痕迹 | TTP 映射 | | :--- | :--- | :--- | :--- | :--- | | **13:45:00** | **7045** | Service Control Manager / System | **ServiceName:** PSEXESVC
**ImagePath:** `C:\Windows\psexecsvc.exe`
**User:** `NT AUTHORITY\SYSTEM` | **MITRE ATT&CK T1569.002:**
System Services: Service Execution | | **13:45:02** | **4688** | Security Auditing / Security | **NewProcessName:** `C:\Windows\System32\cmd.exe`
**CommandLine:** `cmd.exe /c echo PsexecTest`
**ParentProcessName:** `C:\Windows\psexecsvc.exe`
**SubjectUserName:** `Asus` | **MITRE ATT&CK T1059.003:**
Command and Scripting Interpreter: Windows Command Shell | | **13:45:10** | **4688** | Security Auditing / Security | **NewProcessName:** `C:\Windows\System32\whoami.exe`
**CommandLine:** `whoami`
**ParentProcessName:** `cmd.exe`
**SubjectUserName:** `SYSTEM` | **MITRE ATT&CK T1033:**
Discovery: System Owner/User Discovery | ### 3. 分析师技术解析 1. **初始进入与权限提升：** 对手破坏了本地用户账户 `Asus` 的凭证。通过网络使用这些凭证，他们绕过了传统的身份验证控制，指示 Service Control Manager 安装一个在最高级别 `SYSTEM` 权限下运行的新服务 (`PSEXESVC`)。 2. **执行与交互式 Shell：** 一旦服务二进制文件 `psexecsvc.exe` 被写入磁盘并执行，它就会作为父进程生成一个具有管理权限的 Windows 命令行解释器 (`cmd.exe`)。 3. **侦察：** 对手立即从生成的 shell 中发出发现命令 `whoami`，以确认是否成功提权至 `NT AUTHORITY\SYSTEM`。 ## 检测工程产物为了防止这种横向移动技术的未来变种，编写了以下自定义 **Sigma 规则**，用于监控企业 SIEM 框架内的异常服务安装并发出告警。 ``` title: Malicious Service Creation - PsExec Execution id: a8361b24-9b87-43cf-bc3d-51d8b671cc0e status: experimental description: Detects the installation of the default PsExec service tool commonly abused for lateral movement. author: Asus (SOC Analyst Portfolio) date: 2026/06/16 tags: - attack.lateral_movement - attack.t1569.002 logsource: product: windows service: system detection: selection: EventID: 7045 ServiceName: 'PSEXESVC' ImagePath: '*\psexecsvc.exe' condition: selection falsepositives: - Administrative maintenance activity (verify source user) level: high ```

标签：CIDR输入, Homebrew安装, Sigma规则, Zui, 安全运营, 扫描框架, 数字取证, 目标导入, 管理员页面发现, 自动化脚本