davinzidan/soc-detection-engineering-lab
GitHub: davinzidan/soc-detection-engineering-lab
一个基于模拟 Linux 日志的企业级 SOC 检测工程实验室,提供从检测规则到 MITRE ATT&CK 映射和专业报告的完整安全运营流程演示。
Stars: 0 | Forks: 0
# SOC 检测工程实验室





客户:GreenCart Retail Pvt. Ltd.
顾问:Ahammed Zidan M
角色模拟:初级 SOC 分析师 / 检测工程师
项目类型:企业级 SOC 检测实验室
## 执行摘要
GreenCart Retail 需要一个轻量级的检测工程概念验证,以便在安全的实验室环境中识别可疑的 Linux 身份验证活动、提权尝试以及基本的攻击者行为。
本项目将使用模拟的 Linux 日志、Sigma 风格的检测逻辑、MITRE ATT&CK 映射以及专业的事件文档,构建一个面向招聘者的 SOC 实验室。
## 业务问题
GreenCart 对 Linux 服务器上的身份验证滥用可见性有限。安全团队希望针对以下内容实现可复用的检测:
- SSH 暴力破解行为
- 多次失败后的成功登录
- 使用 `sudo` 进行提权
- 可疑的命令执行
- 账户发现活动
## 范围
范围内:
- 仅限本地实验室
- 模拟的 Linux 身份验证日志
- 检测规则
- 告警分类(Triage)记录
- MITRE ATT&CK 映射
- 专业的 SOC 报告
范围外:
- 真实的互联网目标
- 恶意软件执行
- 针对真实系统的凭证攻击
- 生产环境 SIEM 部署
- 未经授权的扫描
## 目标
- 构建一个 SOC 风格的检测项目。
- 生成安全的模拟事件日志。
- 编写检测规则。
- 将检测映射到 MITRE ATT&CK。
- 生成专业的报告和证据包。
- 准备 GitHub、作品集、LinkedIn、简历和面试交付物。
## 交付物
- `reports/report.md`
- `reports/executive-summary.md`
- `reports/risk-assessment.md`
- `reports/recommendations.md`
- `output/pdf/SOC-Detection-Engineering-Report.pdf`
- `docs/lab-setup.md`
- `docs/methodology.md`
- `docs/mitre-attack-mapping.md`
- `docs/interview-prep.md`
- `docs/resume-bullets.md`
- `docs/github-actions/markdown-check.yml`
- `linkedin/linkedin-post.md`
- `portfolio/project-card.md`
- 位于 `scripts/` 下的检测脚本
- 位于 `evidence/` 下的证据
## 成功标准
- 记录了至少 5 个检测。
- 每个检测都包含逻辑、说明、预期输出和 MITRE 映射。
- 证据可从本地模拟日志中复现。
- 项目安全、合法且面向招聘者。
## 快速开始
```
python3 scripts/generate_sample_logs.py
python3 scripts/detect_linux_auth_events.py
cat evidence/alerts-summary.md
```
## 结果
| 指标 | 数值 |
| --- | --- |
| 模拟日志事件 | 22 |
| 告警类别 | 5 |
| 总告警数 | 8 |
| 高严重性告警类型 | 3 |
| 映射的 MITRE 技术 | 6 |
PDF 报告:[`output/pdf/SOC-Detection-Engineering-Report.pdf`](output/pdf/SOC-Detection-Engineering-Report.pdf)
## 仓库结构
```
.
├── detections/
├── docs/
│ └── github-actions/
├── evidence/
├── reports/
├── scripts/
├── screenshots/
├── linkedin/
├── portfolio/
└── assets/
```
## GitHub Actions
`docs/github-actions/markdown-check.yml` 中包含一个 Markdown 验证工作流模板。
要在具有 GitHub Actions 工作流权限的仓库中启用它,请将其复制到
`.github/workflows/markdown-check.yml`。
## 免责声明
这是一个使用模拟日志的安全本地实验室。未攻击任何真实系统。
标签:Cloudflare, Linux身份验证, MITRE ATT&CK, Sigma规则, SOC实验室, 安全运营, 扫描框架, 目标导入, 逆向工具, 防御加固