dsjaramillom/soc-log-analysis-lab

# SOC 日志分析实验室 一个专注于攻击模拟、日志分析、事件调查和防御性文档记录的网络安全实践实验室。 本仓库记录了在受控环境中进行的实用蓝队练习，其中以 Ubuntu Server 作为目标系统，Kali Linux 作为攻击机。 ## 项目目标 本项目旨在模拟真实世界的攻击场景，并从 SOC Tier 1 的视角分析其影响。 主要关注领域： * Linux 身份验证日志分析 * 网络侦察 * SSH 暴力破解检测 * Web 枚举分析 * Apache 访问日志调查 * 事件记录 * 威胁检测自动化 ## 实验室架构 ``` Kali Linux (Attacker) ---> Ubuntu Server (Victim) ``` 环境： * Kali Linux * Ubuntu Server * VirtualBox 内部网络：`SOC-LAB` * 启用 NAT 以访问互联网 ## 网络配置 ### Ubuntu Server IP 地址： ``` 192.168.56.10 ``` ### Kali Linux IP 地址： ``` 192.168.56.11 ``` 验证： * 两台机器之间成功 ping 通 * 内部通信已建立 证据：   ## 已安装的服务 ### SSH 服务状态：  用途： * 远程管理 * 身份验证分析 * 暴力破解模拟目标 ### Apache 服务状态：  用途： * Web 枚举分析 * HTTP 请求记录 * Web 攻击模拟 ## 开放端口验证 已识别的开放端口： * 端口 22 (SSH) * 端口 80 (HTTP) 证据：  ## 基线日志记录 在发起攻击之前，检查了基线日志以建立正常的系统行为基准。 已审查的日志： * `/var/log/auth.log` * `/var/log/apache2/access.log` * `/var/log/syslog` 目的： * 了解正常的系统活动 * 为未来的攻击创建对比点 * 提高事件可见性 证据：  ## 已完成的阶段 ### 阶段 1 — 基础设施搭建 已完成： * Ubuntu 安装 * Kali 安装 * VirtualBox 网络配置 * 内部通信验证 * 初始文档记录 文档： * `lab-setup/kali-setup.md` * `lab-setup/ubuntu-server-setup.md` * `lab-setup/network-diagram.md` ### 阶段 2 — 目标准备与基线 已完成： * 系统更新 * SSH 验证 * Apache 验证 * 开放端口验证 * 基线日志检查 ### 阶段 3 — 使用 Nmap 进行侦察 已完成： 侦察包括： * 开放端口发现 * 服务枚举 * 版本检测 * OS 指纹识别 * HTTP endpoint 探测 * NSE 脚本执行 发现： * OpenSSH 10.2p1 * Apache 2.4.66 * Linux OS 指纹已确认 Apache 日志证据显示： * GET / * OPTIONS / * PROPFIND / * POST /sdk * GET /HNAP1 * GET /evox/about 证据：   文档： * `reports/nmap-scan-report.md` MITRE ATT&CK： * T1595 — 主动扫描 * T1046 — 网络服务发现 ### 阶段 4 — SSH 暴力破解分析 已完成： 攻击模拟包括： * 无效用户尝试 * 密码验证失败 * 成功登录验证 * 提权可见性 证据：   文档： * `reports/ssh-bruteforce/incident-report.md` MITRE ATT&CK： * T1110 — 暴力破解 * T1078 — 有效账户 ## 仓库结构 ``` soc-log-analysis-lab/ ├── README.md ├── lab-setup/ ├── logs/ ├── reports/ ├── screenshots/ ├── scripts/ └── notes/ ``` ### 阶段 5 — 使用 Gobuster 进行 Web 枚举 已完成： 攻击模拟包括： - 目录暴力破解 - 隐藏 endpoint 发现 - 受保护资源检测 - Apache 日志分析 - 枚举模式识别 发现： - /.hta - /.htpasswd - /.htaccess - /index.html - /server-status Apache 日志显示： - 连续的 GET 请求 - 多个 404 响应 - 高请求频率 - Gobuster 特征检测 证据：   文档： - `reports/web-enumeration/incident-report.md` MITRE ATT&CK： - T1595.003 — Web 漏洞扫描 ### 阶段 7 — Python 自动化 计划编写的脚本： * `failed_logins.py` * `count_failed_logins_by_ip.py` * `suspicious_web_requests.py` * `sudo_activity_parser.py` 目标： * 自动化事件检测 * 减少手动分析时间 ### 阶段 8 — SOC 报告 标准格式： * 总结 * 源 IP * 目标 * 证据 * 影响 * 建议 ## 当前重点 当前活跃阶段： ``` Phase 5 — Web Enumeration with Gobuster ``` 下一次攻击： ``` gobuster dir -u http://192.168.56.10 -w wordlist.txt ``` ## 分析师笔记 本仓库代表了我向网络安全领域的实际转型，重点关注： * SOC 运营 * 蓝队基础 * Linux 安全 * 日志分析 * 事件响应 * 威胁检测 当前培训： * Cisco CCST Cybersecurity * Linux 日志分析 * SOC Tier 1 准备

标签：CTI, 内存分配, 安全运营中心(SOC), 密码管理, 攻击模拟, 自动化响应, 逆向工具, 驱动签名利用