chand-nisar/SOC-Automation

# SOC 自动化实验室     ## 概述 在 **SMALTER** (InfoSec/SOC 部门) 为期 5 周的技术实习期间从零开始构建。 目标：Windows 端点上的恶意活动能否触发完整的响应链 —— 告警、富化、创建事件、通知分析师 —— **全程零人工干预**？ **答案是：可以。在 30 秒内完成。** ## 技术栈 - **Wazuh** — SIEM，自定义检测规则 (PCRE2)，Sysmon 集成 - **Sysmon v15.20** — Windows 遥测数据 (Event ID 1, 3, 7, 10) - **Shuffle** — SOAR 工作流 (webhook → 解析 → VT → TheHive → 邮件) - **TheHive 4.1.24** — 案例管理 (Docker) - **VirusTotal API v3** — IOC 富化 - **Elasticsearch** — TheHive 后端存储 - **Docker Compose** — 容器编排 ## 检测规则 | 规则 ID | 等级 | 描述 | |---------|-------|-------------| | 92212 | 14 | 可疑的 PowerShell 压缩 (mimikatz.zip) | | 92910 | 12 | 异常的进程内存访问 (OneDrive → Explorer) | | 100002 | 15 | 通过原始文件名检测到 Mimikatz (自定义规则) | 自定义规则针对 `originalFileName` —— 即使二进制文件被重命名也同样有效。 ## 验证 — Mimikatz 模拟 **结果：** 在 **< 30 秒**内自动在 Outlook 中收到邮件告警。 TheHive 案例已预填以下信息：标题、严重程度 (High)、observables、VirusTotal 评分。 ## 解决的关键挑战 | 问题 | 解决方案 | |-------|----------| | TheHive v3 Docker 镜像损坏 | 迁移至 `thehiveproject/thehive4` | | Shuffle 云端无法访问私有 TheHive | 本地部署 Shuffle，释放 9200 端口 | | Mimikatz 被 Defender 删除 | 将检测转移到下载活动 (规则 92212) | | 内存崩溃 (3.8 GB 机器) | JVM 优化 + 顺序启动服务 | ## 作者 **Chand Nisar** — UIR Rabat 网络安全专业四年级学生 实习单位：SMALTER，InfoSec/SOC 部门 — 导师：M. Hamza El Orf ## 参考 - [Wazuh 文档](https://documentation.wazuh.com) - [TheHive 项目](https://thehive-project.org) - [Shuffle](https://shuffler.io) - [Sysmon — Microsoft Sysinternals](https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon) - [MITRE ATT&CK T1003](https://attack.mitre.org/techniques/T1003)

标签：AMSI绕过, CIDR查询, DNS 反向解析, Docker, Libemu, PB级数据处理, SOAR, TheHive, Wazuh, 威胁检测, 安全运维, 安全防御评估, 版权保护