midhunvkgit/Home_Based_SOC_with_ELK_Stack_and_MITRE_ATT-CK_Aligned-Detection

# 基于 ELK Stack 和 MITRE ATT&CK 对齐检测的家庭 SOC 基于 ELK Stack 和 Beats 构建的家庭 SOC，具有与 MITRE ATT&CK 对齐的检测逻辑以及用于威胁可视化的 Kibana 仪表板。 本项目介绍了一种家庭安全运营中心（SOC）的设计与部署，它利用开源技术进行实时威胁检测、日志分析和对手行为映射。该架构的核心是 ELK Stack——Elasticsearch、Logstash 和 Kibana——用于数据提取、处理、存储和可视化。端点遥测数据使用 Filebeat 收集 Linux 日志，使用 Winlogbeat 收集 Windows 事件日志，并使用 Auditbeat 监控 Linux 系统上的文件完整性、用户活动和进程执行，从而增强系统级的可见性。这些 agent 将数据转发到 Logstash，后者在将事件索引到 Elasticsearch 之前对其进行解析和丰富。Elasticsearch 充当集中式数据存储和分析引擎，可大规模索引和管理日志数据，同时支持跨不同数据源的快速全文搜索、聚合和时间序列分析，构成了 SOC 的分析基础。 本项目结合了使用 Atomic Red Team 和 Metasploit 的对抗模拟，以模拟真实的攻击技术，从而允许测试现有的检测能力。模拟完成后，将根据观察到的攻击行为创建自定义检测规则，以识别特定的威胁和恶意活动。然后，这些规则将在 Kibana 中实现，以实现对收集数据中异常模式和行为的精确检测。利用 MITRE ATT&CK 框架将检测到的行为映射到已知的对手战术和技术，从而促进基于威胁的防御策略。Kibana 提供了一个直观的界面，用于可视化探索、仪表板创建和事件关联，同时支持调查工作流和执行级别的报告。通过 Kibana Alerts 集成了实时警报功能，并设置了邮件通知，以便在满足预定义的阈值或威胁模式时通知管理员。本项目表明，只需最少的基础设施，就可以构建功能齐全且可扩展的 SOC 环境，使其非常适合用于网络安全培训、研究以及入门级操作用途。

标签：AMSI绕过, ATT&CK框架, ELK Stack, TGT, x64dbg, 内容过滤, 威胁检测, 安全运营中心, 攻防演练, 网络映射, 越狱测试