Miguel-R13/SOC-Lab-Elastic-Security-Threat-Detection-Platform

🛡️ 我如何使用 Elasticsearch + Kibana 从零构建 SOC 📌 简介 本项目旨在基于 Elastic Stack 从零设计并实现一个功能完备的 SOC（Security Operations Center，安全运营中心），整合了以下能力： SIEM EDR NSM（Network Security Monitoring，网络安全监控） Threat Intelligence（CTI，威胁情报） 用于行为检测的 Machine Learning Case Management（IRIS） 基础设施可观测性 整个环境部署在一个实验室中，使用 Docker 作为辅助组件编排的基础。 🏗️ 1. SOC 架构 该 SOC 基于以下核心技术栈构建： 🔹 Elastic Stack Elasticsearch → 索引与关联引擎 Kibana → 可视化、SIEM 与分析 Fleet Server → 代理管控 Elastic Agent → endpoint 遥测与安全 🔹 部署基础设施 Docker → 部署辅助服务（MISP、IRIS 等）以及 Elastic + Kibana 本身。 🧠 Fleet Server（管理核心） Fleet Server 作为 SOC 的控制中心： Elastic Agent 的集中化管理 安全策略应用 遥测编排 Agent 生命周期管控 🧩 Elastic Agent（统一传感器）。Elastic Agent 被用作 endpoint 的主要传感器： 日志收集 系统指标 安全遥测 与 Fleet Server 通信 EDR 策略执行 🖥️ 2. Endpoint 安全（EDR） 📜 EDR 策略：EDR_Policy 设计了专门针对 Windows 环境的策略，旨在实现 endpoint 的完全可见性。 📊 启用的数据源 Windows Event Logs Security Logs Application Logs System Logs Windows Defender Events Authentication Events System startup / shutdown Login / logout events ⚙️ 监控的活动 进程执行 (.exe) PowerShell activity 操作系统更改 持久化与本地修改 🛡️ Elastic Defend（主动 EDR） 集成了 Elastic Defend 作为 EDR 层，具备以下能力： 恶意软件检测 威胁防护 高级 endpoint 遥测 事件响应 取证支持 🧪 漏洞管理 引入了基于以下内容的漏洞情报： CISA Known Exploited Vulnerabilities（KEV） 这使得识别暴露于被积极利用的漏洞中的资产成为可能。 🧪 部署验证 注册了一个实验室 Windows endpoint 以验证： 日志摄取 系统遥测 EDR 检测 在 Kibana 中生成告警 🌐 3. 网络安全监控（NSM） 通过 Network Packet Capture 启用了流量捕获与分析。 📡 监控的协议（示例） DNS DHCP HTTP TLS ICMP MySQL 👉 协议的激活会根据关键性和资源消耗进行调整。 🤖 4. 机器学习与行为检测 集成了基于行为的检测模型： 🔍 用例 🔁 Lateral Movement Detection 🔐 Privileged Access Detection 📤 Data Exfiltration Detection 📌 异常示例： 在非常规时间的大量传输 在周末或节假日的活动 访问模式的突然变化 🧬 5. 威胁情报（CTI） 🔗 与 Abuse.ch 集成 通过 API 集成了威胁情报： MalwareBazaar ThreatFox 恶意软件 URL Feeds SSL Blacklists IOC Feeds 📌 IOC 保留期：30 天 🧠 威胁情报工具 集中了 IOC 的可视化与分析，以丰富安全事件。 🧩 6. 与 MISP 集成 部署了 MISP（Malware Information Sharing Platform）。 🎯 目标 📥 情报获取 IOC TTPs 攻击活动 恶意软件指标 📤 情报共享 在组织间发布事件 🏛️ 信息治理 L1 SOC → 创建并记录事件 L2 SOC → 分析与丰富 L3 / Threat Intel → 验证并发布情报 🧾 上下文示例 SQL Injection 尝试 来源：云基础设施（Alibaba Cloud） 关联的 IOC + 技术证据 🔗 Elastic ↔ MISP 集成 通过 API 进行双向连接，用于： 告警丰富化 IOC 同步 事件关联 🚨 7. 检测与安全规则 📊 Elastic Security Rules 加载了大约： 1.849 条预定义规则 📌 重要提示： 并非所有规则都被激活。根据环境进行了 tuning 过程。 📁 8. 事件管理（IRIS） 通过 Docker 部署了 IRIS Case Management。 🧾 能力 事件管理 证据记录 事件关联 调查跟踪 取证文档 📚 关键优势 事件生命周期的完全可追溯性： 检测 → 分析 → 遏制 → 经验教训 📊 9. 可观测性与监控 🌐 Elastic Synthetics 用例： Web 可用性监控 SSL/TLS 证书 过期告警 API 的 Health-check 🖥️ 监控的基础设施 主机 CPU / RAM / 磁盘 网络 Kubernetes（pods，nodes） Cloud（AWS） 应用与 API 🐧 10. 多操作系统扩展性 该 SOC 旨在扩展至： Linux 系统日志 审计（auditd） 性能指标 安全遥测 📌 结论 本项目展示了如何构建一个企业级的完整 SOC，结合了： SIEM（Elastic Security） EDR（Elastic Defend） NSM（Packet Capture） CTI（Abuse.ch + MISP） ML detections Case management（IRIS） 全面的可观测性 所有这些都集成在一个可扩展、模块化且面向高级检测的架构中。

标签：AMSI绕过, Docker, Elastic Stack, OpenCanary, 威胁检测, 安全运营中心, 安全防御评估, 日志集中管理, 流量重放, 端点检测与响应, 网络映射, 脱壳工具, 请求拦截, 越狱测试