coby-nguyen/Document-MITRE-ATTACK-SOC-Detection-Lab
GitHub: coby-nguyen/Document-MITRE-ATTACK-SOC-Detection-Lab
基于 MITRE ATT&CK 框架构建的家庭实验室,使用 Atomic Red Team 模拟真实攻击并在 Elastic SIEM 中验证自定义检测规则。
Stars: 0 | Forks: 0
# MITRE ATT&CK SOC 检测实验室

## 🎯 项目目标
- 展示使用行业标准工具的检测工程技能
- 将模拟攻击映射到 MITRE ATT&CK Enterprise 框架
- 编写、测试和记录自定义 SIEM 检测规则
- 产出适合 SOC 分析师或检测工程师展示的作品集产出物
## 🛠 技术栈
| 组件 | 工具 |
|--|--|
| SIEM | Elastic Stack 8.x (Elasticsearch + Kibana) |
| 日志传输 | Elastic Agent + Fleet Server |
| Endpoint 遥测 | Sysmon (SwiftOnSecurity config) |
| 攻击模拟 | Atomic Red Team (Invoke-AtomicRedTeam) |
| 基础设施 | VirtualBox, Kali Linux 2024.x, Windows 10 |
## 🔴 模拟技术
| MITRE ID | 技术 | 战术 | 触发告警 |
|--|--|--|--|
| T1059.001 | PowerShell Encoded Commands | Execution | ✅ |
| T1547.001 | Registry Run Key Persistence | Persistence | ✅ |
| T1078 | New Local Admin Account | Privilege Escalation | ✅ |
| T1562.001 | Disable Windows Defender | Defense Evasion | ✅ |
| T1003.001 | LSASS Memory Dump | Credential Access | ✅ |
## 📁 仓库内容
- `detection_rules/` — Kibana NDJSON 导出文件 + 每个规则的文档
- `navigator/` — ATT&CK Navigator JSON 图层(在 attack.mitre.org/navigator 导入)
- `atomic_tests/` — PowerShell 脚本和测试结果文档
- `docs/` — 完整的设置指南和架构
## 🚀 快速开始
请参阅 [docs/lab_setup.md](docs/lab_setup.md) 获取完整的环境设置指南。
运行所有模拟(仅限隔离实验室!):
```
.\atomic_tests\run_all_tests.ps1
```
将检测规则导入 Kibana:
**Security → Rules → Import** → 选择 `detection_rules/elastic_rules.ndjson`
## 📊 ATT&CK 覆盖范围
在 [ATT&CK Navigator](https://mitre-attack) 导入 `navigator/attack_layer.json`
以查看覆盖范围。
## ⚠ 免责声明
本项目仅供在隔离的实验室环境中进行教育目的使用。
切勿在不属于您的生产系统或网络上运行攻击模拟。
标签:AI合规, Atomic Red Team, Elastic Stack, SIEM检测, 安全实验室, 安全运营, 扫描框架, 数据泄露检测, 流量重放, 越狱测试