IgnacioSol/home-soc-investigation

# 家庭 SOC 调查实验室 这是一个使用 Splunk、真实攻击数据和自定义 Sigma 检测规则模拟的 SOC 一级/二级事件调查实验室。 本项目是我的 [sigma-detection-rules](https://github.com/IgnacioSol/sigma-detection-rules) 仓库的应用层 —— 在该仓库中定义的规则会被转换为 SPL，并在此处针对真实的攻击数据执行。 ## 场景 **目标组织：** AcmeCorp（虚构） **事件类型：** 多阶段 APT 入侵 **分析师角色：** SOC 二级分析师（升级处理案件） AcmeCorp 企业网络中的一台 Windows 端点触发了多个警报。调查揭示了一条完整的攻击链： | 阶段 | 技术 | ATT&CK ID | |---|---|---| | 执行 | 恶意 PowerShell | T1059.001 | | 凭据访问 | LSASS 内存转储 | T1003.001 | | 持久化 | 注册表 Run Keys | T1547.001 | | 横向移动 | 针对内部主机的 RDP | T1021.001 | ## 技术栈 | 组件 | 用途 | |---|---| | Splunk 9.2.1 (Docker) | SIEM —— 日志摄取、索引和搜索 | | splunk/attack_data | 按 ATT&CK 技术生成的模拟攻击日志 | | sigma-cli | 将 Sigma YAML 规则转换为 SPL 查询 | | Python 3 | 数据集下载与摄取脚本 | ## 仓库结构 ``` home-soc-investigation/ ├── docker/ │ └── docker-compose.yml # Splunk instance ├── datasets/ # Downloaded attack_data logs (gitignored) ├── sigma-to-spl/ │ └── converted/ # SPL output from sigma-cli ├── investigation/ │ └── queries.md # SPL queries built during investigation └── report/ └── incident-report.md # Final incident report ``` ## 如何运行 ### 1. 启动 Splunk ``` cd docker docker compose up -d ``` Splunk UI → http://localhost:8000 用户名：`admin` / 密码：`AcmeCorp2024!` 首次运行时请等待约 60 秒以完成 Splunk 初始化。 ### 2. 下载数据集 ``` python3 datasets/download_datasets.py ``` ### 3. 将数据摄取至 Splunk ``` python3 datasets/ingest.py ``` ### 4. 将 Sigma 规则转换为 SPL ``` cd sigma-to-spl pip install sigma-cli sigma convert -t splunk -p splunk_windows ../path/to/sigma-rules/ -o converted/ ``` ### 5. 执行调查 打开 `investigation/queries.md` 并按步骤完成各个阶段。 ## 检测规则 所有检测逻辑均源自 [sigma-detection-rules](https://github.com/IgnacioSol/sigma-detection-rules)： - `rules/T1003.001_lsass_memory_access.yml` - `rules/T1059.001_malicious_powershell.yml` - `rules/T1547.001_registry_run_keys.yml` - `rules/T1021.001_rdp_lateral_movement.yml` ## 最终报告 请参阅 [`report/incident-report.md`](report/incident-report.md) 获取完整的事件报告，其中包含执行摘要、时间线、IOC、ATT&CK 映射以及修复建议。 ## 学习目标 - 将 Splunk 作为 SIEM 进行实际的事件调查 - 使用 sigma-cli 将 Sigma 检测规则转换为 SPL - 通过关联 Windows Event Logs 构建攻击时间线 - 撰写专业的 SOC 二级事件报告

标签：AMSI绕过, Docker, OpenCanary, Reconnaissance, Sigma规则, SOC实验室, 后端开发, 威胁检测, 安全可视化, 安全运营, 安全防御评估, 扫描框架, 目标导入, 请求拦截, 逆向工具