primaelkpfv/soc-tier1-elk-wazuh

GitHub: primaelkpfv/soc-tier1-elk-wazuh

该项目在虚拟实验室中搭建了集成 ELK + Wazuh + TheHive 的 SOC Tier 1 架构，通过 Metasploit 攻击模拟验证端到端的日志检测与事件响应流程。

Stars: 0 | Forks: 0

# 🛡️ 模拟 SOC Tier 1 — ELK Stack + Wazuh + TheHive ![状态](https://img.shields.io/badge/Status-Terminé-brightgreen) ![技术栈](https://img.shields.io/badge/Stack-ELK%20%7C%20Wazuh%20%7C%20TheHive-blue) ![类别](https://img.shields.io/badge/Catégorie-SSI%20·%20Blue%20Team-blueviolet) ## 🎯 目标在虚拟化环境中部署一个可运行的 SOC Tier 1 架构，要求能够： - 收集并标准化 Windows/Linux 日志 - 通过自定义规则检测恶意行为 - 关联告警并创建安全事件 case - 使用 Metasploit 模拟真实攻击 ## 🏗️ 架构 ``` ┌─────────────────────────────────────────────────────┐ │ RÉSEAU SOC LAB │ │ │ │ ┌──────────┐ ┌──────────┐ ┌───────────────┐ │ │ │ Attaquant│ │ Victime │ │ SOC Server │ │ │ │ Kali │───▶│ Windows │ │ ELK + Wazuh │ │ │ │ Linux │ │ 10 │ │ + TheHive │ │ │ └──────────┘ └──────────┘ └───────────────┘ │ │ │ ▲ │ │ └──── Logs ────────┘ │ └─────────────────────────────────────────────────────┘ ``` ## 🛠️ 技术栈 | 组件 | 角色 | 版本 | |-----------|------|---------| | **Elasticsearch** | 日志存储与索引 | 8.x | | **Logstash** | 收集与标准化 (pipelines) | 8.x | | **Kibana** | 可视化、SIEM dashboards | 8.x | | **Wazuh HIDS** | 基于主机的入侵检测 | 4.x | | **TheHive** | 事件管理 (case management) | 5.x | | **Metasploit** | 攻击模拟 | latest | ## 📋 项目步骤 ### 1. 基础设施部署 - 在 Ubuntu Server 22.04 虚拟机上安装 ELK Stack - 配置 Elasticsearch 单节点集群 - 在 Windows 10 和 Ubuntu 虚拟机上部署 Wazuh agent ### 2. 日志收集 - 用于 Windows 日志 (Sysmon, Security, System) 的 Logstash pipelines - 用于 Linux 日志 (/var/log/auth.log, syslog) 的 pipelines - Kibana 索引模式及自定义 dashboards ### 3. 检测规则 - 自定义 Wazuh 规则 (brute force, privilege escalation, lateral movement) - 基于 MITRE ATT&CK 的 Kibana SIEM 告警 - 多源关联 ### 4. 攻击模拟 (Metasploit) - 端口扫描 (Nmap) - 利用 EternalBlue (MS17-010) - Pass-the-Hash - Meterpreter reverse shell - 持久化 (autorun registry) ### 5. 事件响应 - 在 TheHive 中对告警进行分类 - 创建 case 并分配任务 - 包含 IOC 的事件报告 ## 📊 结果 - ✅ 创建并验证了 **12 条检测规则** - ✅ 检测到 **100% 的模拟攻击** - ✅ **平均检测时间**：< 2 分钟 - ✅ 带有 8 个 SIEM 可视化视图的 **Kibana Dashboard** - ✅ 在专业评审团前展示的 **完整文档** ## 🗂️ 仓库结构 ``` soc-tier1-elk-wazuh/ ├── architecture/ │ ├── network-diagram.md │ └── vm-config.md ├── configs/ │ ├── logstash/ │ │ ├── windows-pipeline.conf │ │ └── linux-pipeline.conf │ ├── wazuh/ │ │ └── custom-rules.xml │ └── elasticsearch/ │ └── index-template.json ├── detection-rules/ │ ├── brute-force.md │ ├── lateral-movement.md │ └── persistence.md ├── attack-scenarios/ │ ├── eternalblue.md │ ├── pass-the-hash.md │ └── reverse-shell.md ├── reports/ │ └── incident-report-template.md └── README.md ``` ## 🔗 参考 - [MITRE ATT&CK Framework](https://attack.mitre.org/) - [Wazuh 文档](https://documentation.wazuh.com/) - [Elastic SIEM](https://www.elastic.co/siem) - [TheHive 项目](https://thehive-project.org/) ## 👤 作者 **Fèmi KPONOU** — ESAIP 网络安全学士学生 🌐 [作品集](https://primaelkpfv.github.io) · 💼 [LinkedIn](https://linkedin.com/in/primaelkponou)

标签：CTI, SOAR, 内容过滤, 安全实验室, 安全运营中心, 网络映射, 越狱测试