coby-nguyen/Document-MITRE-ATTACK-SOC-Detection-Lab

GitHub: coby-nguyen/Document-MITRE-ATTACK-SOC-Detection-Lab

基于 MITRE ATT&CK 框架构建的家庭实验室,使用 Atomic Red Team 模拟真实攻击并在 Elastic SIEM 中验证自定义检测规则。

Stars: 0 | Forks: 0

# MITRE ATT&CK SOC 检测实验室 ![ATT&CK Navigator 覆盖范围](https://static.pigsec.cn/wp-content/uploads/repos/cas/14/1456951e8fa743389dbeefa2219b6d032a293a77e9409520d12c7f2df3d44202.png) ## 🎯 项目目标 - 展示使用行业标准工具的检测工程技能 - 将模拟攻击映射到 MITRE ATT&CK Enterprise 框架 - 编写、测试和记录自定义 SIEM 检测规则 - 产出适合 SOC 分析师或检测工程师展示的作品集产出物 ## 🛠 技术栈 | 组件 | 工具 | |--|--| | SIEM | Elastic Stack 8.x (Elasticsearch + Kibana) | | 日志传输 | Elastic Agent + Fleet Server | | Endpoint 遥测 | Sysmon (SwiftOnSecurity config) | | 攻击模拟 | Atomic Red Team (Invoke-AtomicRedTeam) | | 基础设施 | VirtualBox, Kali Linux 2024.x, Windows 10 | ## 🔴 模拟技术 | MITRE ID | 技术 | 战术 | 触发告警 | |--|--|--|--| | T1059.001 | PowerShell Encoded Commands | Execution | ✅ | | T1547.001 | Registry Run Key Persistence | Persistence | ✅ | | T1078 | New Local Admin Account | Privilege Escalation | ✅ | | T1562.001 | Disable Windows Defender | Defense Evasion | ✅ | | T1003.001 | LSASS Memory Dump | Credential Access | ✅ | ## 📁 仓库内容 - `detection_rules/` — Kibana NDJSON 导出文件 + 每个规则的文档 - `navigator/` — ATT&CK Navigator JSON 图层(在 attack.mitre.org/navigator 导入) - `atomic_tests/` — PowerShell 脚本和测试结果文档 - `docs/` — 完整的设置指南和架构 ## 🚀 快速开始 请参阅 [docs/lab_setup.md](docs/lab_setup.md) 获取完整的环境设置指南。 运行所有模拟(仅限隔离实验室!): ``` .\atomic_tests\run_all_tests.ps1 ``` 将检测规则导入 Kibana: **Security → Rules → Import** → 选择 `detection_rules/elastic_rules.ndjson` ## 📊 ATT&CK 覆盖范围 在 [ATT&CK Navigator](https://mitre-attack) 导入 `navigator/attack_layer.json` 以查看覆盖范围。 ## ⚠ 免责声明 本项目仅供在隔离的实验室环境中进行教育目的使用。 切勿在不属于您的生产系统或网络上运行攻击模拟。
标签:AI合规, Atomic Red Team, Elastic Stack, SIEM检测, 安全实验室, 安全运营, 扫描框架, 数据泄露检测, 流量重放, 越狱测试