solomonhenry-afk/DOMAIN-1-Complete---SOC-Operations-Detection-Engineering-and-Threat-Hunting

# LIGHTHOUSE 技术 # 领域 1 — SOC 运营、检测工程与威胁狩猎 ## 企业安全运营工程项目 本项目展示了企业级安全运营中心 (SOC) 环境的设计、部署、验证与实际应用，重点关注遥测工程、检测工程、威胁狩猎、身份验证监控、PowerShell 可见性、Sysmon 工程、防火墙遥测集成以及与 MITRE ATT&CK 对齐的安全运营。 其目标是模拟现代企业安全团队如何在整个企业环境中建立可见性、设计检测、调查活动、验证遥测，并主动狩猎对手行为。 # 项目目标 本项目旨在回答以下关键安全运营问题： * 跨企业系统可提供哪些遥测数据？ * 如何对安全事件进行标准化并将其投入实际运营？ * 防御者可以看到攻击者的哪些行为？ * 企业检测的有效性如何？ * 与 ATT&CK 对齐的监控如何改善安全运营？ * 威胁狩猎如何在告警发生之前识别可疑活动？ # 技术栈 ## 安全运营 * Splunk Enterprise * Splunk Universal Forwarder * 检测工程 * 威胁狩猎 * 安全分析 ## 基础设施 * Windows Server 2019 * Windows 10 Enterprise * Active Directory * DNS 服务 * VirtualBox ## 终端可见性 * Sysmon * Windows 事件日志记录 * PowerShell 日志记录 ## 网络安全 * pfSense 防火墙 * Syslog * 企业遥测管道 ## 框架 * MITRE ATT&CK * 安全运营中心 (SOC) * 检测工程 * 威胁狩猎方法论 # 领域 1 任务 ## 任务 1 - Splunk 基础设施部署 设计并部署了一个集中式 SIEM 平台，能够从 Windows 终端和基础设施系统摄取企业安全遥测数据。 ### 关键成果 * Splunk Enterprise 部署 * 索引验证 * 搜索功能验证 * 建立企业监控基础 ## 任务 2 - Universal Forwarder 部署 配置了从企业系统到 Splunk 环境的终端遥测转发。 ### 关键成果 * Forwarder 部署 * 安全遥测传输 * 终端接入 * 数据管道验证 ## 任务 3 - 企业遥测管道验证 验证了企业日志摄取和监控覆盖率。 ### 关键成果 * 数据源验证 * 主机验证 * 事件验证 * 日志标准化评估 ## 任务 4 - 身份验证与安全日志可见性 在企业系统中实现了身份验证监控的运营化。 ### 已验证的事件 ID * 4624 — 成功登录 * 4634 — 注销事件 * 4648 — 显式凭据使用 * 4672 — 分配特殊权限 ### 安全运营覆盖范围 * 身份验证监控 * 凭据可见性 * 特权访问监控 * 身份活动分析 ## 任务 5 - PowerShell 日志工程 启用了高级 PowerShell 可见性，以支持检测工程和威胁狩猎操作。 ### 已验证的事件 ID * 4103 — 模块日志记录 * 4104 — 脚本块日志记录 ### 安全运营覆盖范围 * PowerShell 可见性 * 管理脚本可见性 * 侦察检测 * 脚本执行监控 ## 任务 6 - Sysmon 工程 在企业终端部署了 Sysmon，以提供高级终端遥测。 ### 已验证的事件 ID * Event ID 1 - 进程创建 * Event ID 4 - Sysmon 服务状态 * Event ID 11 - 文件创建 * Event ID 12 - 注册表对象创建/删除 * Event ID 13 - 注册表值修改 * Event ID 16 - Sysmon 配置更改 * Event ID 22 - DNS 查询 ### 安全运营覆盖范围 * 进程监控 * DNS 可见性 * 终端遥测工程 * 威胁检测增强 ## 任务 7 - pfSense 遥测工程 将企业防火墙遥测集成到监控环境中。 ### 关键成果 * Syslog 转发 * UDP 514 验证 * 远程日志记录 * 防火墙遥测摄取 ### 安全运营覆盖范围 * 网络可见性 * 防火墙分析 * 连接监控 * 基础设施遥测 ## 任务 8 - 检测工程 利用企业遥测源开发了与 ATT&CK 对齐的检测。 ### 检测用例 * 身份验证监控 * 凭据使用监控 * 权限提升监控 * PowerShell 活动监控 * 进程创建监控 * DNS 监控 * 防火墙活动监控 ### 成果 实现了由自定义 Splunk SOC 仪表板支持的企业检测工程工作流。 ## 任务 9 - MITRE ATT&CK 映射 将企业检测映射到真实世界的对手技术。 ### ATT&CK 覆盖范围 * T1078 - 有效账户 * T1068 - 权限提升 * T1059.001 - PowerShell * T1059 - 命令执行 * T1106 - 原生 API * T1218 - 签名的二进制代理执行 * T1071.004 - DNS * T1046 - 网络服务发现 * T1021 - 远程服务 * T1087 - 账户发现 * T1087.002 - 域账户发现 * T1016 - 系统网络配置发现 ### 成果 在企业遥测源中建立了与 ATT&CK 对齐的检测覆盖。 ## 任务 10 - 威胁狩猎 利用企业遥测和与 ATT&CK 对齐的方法论执行了主动威胁狩猎操作。 ### 执行的威胁狩猎 * 身份验证滥用狩猎 * 权限提升狩猎 * PowerShell 侦察狩猎 * 账户发现狩猎 * 域侦察狩猎 * 进程创建狩猎 * DNS 活动狩猎 * 终端活动狩猎 ### 成果 验证了使用企业遥测主动识别攻击者行为的能力，而非仅仅依赖告警。 # 展示的企业安全领域 ## 安全运营 * SOC 运营 * 检测工程 * 威胁狩猎 * 安全监控 * 事件调查 ## 检测工程 * ATT&CK 映射 * 关联开发 * 检测验证 * 检测调优 ## 终端可见性 * Sysmon 工程 * PowerShell 可见性 * Windows 安全监控 ## 身份安全 * 身份验证监控 * 特权访问可见性 * 凭据使用监控 ## 网络可见性 * 防火墙遥测 * Syslog 集成 * 企业遥测管道 # 项目成果 成功设计并运营了一个完整的企业安全监控环境，能够支持： * 安全运营中心工作流 * 检测工程项目 * 与 ATT&CK 对齐的监控 * 威胁狩猎操作 * 身份验证监控 * 终端可见性 * 防火墙遥测分析 * 事件调查活动 本项目为未来专注于对手验证、紫队演练、网络安全工程、身份弹性、云安全工程和安全自动化的 Lighthouse Technology 领域奠定了基础。 ## 领域 1 状态 完成

标签：AI合规, Cloudflare, MITRE ATT&CK, SIEM平台, Terraform 安全, 安全运营中心 (SOC), 日志遥测