elirose-spec/soc-detection-lab
GitHub: elirose-spec/soc-detection-lab
该实验室通过在隔离环境中执行真实攻击并编写对应的 Wazuh 检测规则,帮助 SOC 分析师验证检测覆盖率并学习检测工程实践。
Stars: 0 | Forks: 0
# SOC 检测实验室:检测你自己的攻击
本项目在一个实验室中运行完整的从攻击到防御的闭环。我从 Kali 机器上执行真实的攻击,然后编写用于捕获这些攻击的 Wazuh 检测规则。每条规则都映射到一项 MITRE ATT&CK 技术,并在来自活动 Windows 域的遥测数据上触发。
## 实验室架构
四个虚拟机位于隔离的 VMware NAT 网络 (192.168.26.0/24) 上:
| 主机 | 角色 | 操作系统 |
|------|------|-----|
| rosensec | Wazuh 4.14 all-in-one SIEM | Ubuntu 22.04 |
| TZOMET-DC | 域控制器 (TZOMET.LOCAL) 带有 Sysmon | Windows Server 2019 |
| Kali | 攻击者 | Kali Linux |
| suricata-ids | 网络 IDS 传感器 | Ubuntu Server |
## 检测项
已有四条规则确认在实际攻击流量中触发:
| 规则 ID | 检测项 | 工具 | MITRE |
|---------|-----------|------|-------|
| 100100 | RDP 暴力破解 | Hydra | T1110 |
| SID 1000001 | SYN 扫描 | nmap | T1046 |
| 100200 | Kerberos 用户枚举 | krb5-enum-users | T1087.002 |
| 100201 | Kerberos 密码喷射 | krb5-enum-users | T1110.003 |
## 目录
- [`soc-detection-lab-presentation.pptx`](soc-detection-lab-presentation.pptx) — 完整的演示文稿
- [`soc-detection-lab-presentation.pdf`](soc-detection-lab-presentation.pdf) — PDF 导出文件,可在 GitHub 上内联显示
- [`SOC_Lab_Report.md`](SOC_Lab_Report.md) — 实验室报告
- [`local_rules.xml`](local_rules.xml) — Wazuh 检测规则
## 后续工作
LSASS 凭据转储检测(Sysmon Event 10,T1003.001)、AD CS 证书基础设施、自定义 Sigma 规则以及蜜罐部署。
标签:Metaprompt, PFX证书, Wazuh, 安全运营, 实验环境, 扫描框架, 插件系统, 攻击检测