davinzidan/soc-detection-engineering-lab

GitHub: davinzidan/soc-detection-engineering-lab

一个基于模拟 Linux 日志的企业级 SOC 检测工程实验室,提供从检测规则到 MITRE ATT&CK 映射和专业报告的完整安全运营流程演示。

Stars: 0 | Forks: 0

# SOC 检测工程实验室 ![项目](https://img.shields.io/badge/Project-SOC%20Detection%20Engineering-blue) ![MITRE](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![状态](https://img.shields.io/badge/Status-Complete-brightgreen) ![安全性](https://img.shields.io/badge/Safety-Authorized%20Lab-success) ![SOC 检测工程实验室](https://static.pigsec.cn/wp-content/uploads/repos/cas/65/6500c2306359f629ab183e75a44c793d33fe4ab1d562cafb374b2e06278d1df6.png) 客户:GreenCart Retail Pvt. Ltd. 顾问:Ahammed Zidan M 角色模拟:初级 SOC 分析师 / 检测工程师 项目类型:企业级 SOC 检测实验室 ## 执行摘要 GreenCart Retail 需要一个轻量级的检测工程概念验证,以便在安全的实验室环境中识别可疑的 Linux 身份验证活动、提权尝试以及基本的攻击者行为。 本项目将使用模拟的 Linux 日志、Sigma 风格的检测逻辑、MITRE ATT&CK 映射以及专业的事件文档,构建一个面向招聘者的 SOC 实验室。 ## 业务问题 GreenCart 对 Linux 服务器上的身份验证滥用可见性有限。安全团队希望针对以下内容实现可复用的检测: - SSH 暴力破解行为 - 多次失败后的成功登录 - 使用 `sudo` 进行提权 - 可疑的命令执行 - 账户发现活动 ## 范围 范围内: - 仅限本地实验室 - 模拟的 Linux 身份验证日志 - 检测规则 - 告警分类(Triage)记录 - MITRE ATT&CK 映射 - 专业的 SOC 报告 范围外: - 真实的互联网目标 - 恶意软件执行 - 针对真实系统的凭证攻击 - 生产环境 SIEM 部署 - 未经授权的扫描 ## 目标 - 构建一个 SOC 风格的检测项目。 - 生成安全的模拟事件日志。 - 编写检测规则。 - 将检测映射到 MITRE ATT&CK。 - 生成专业的报告和证据包。 - 准备 GitHub、作品集、LinkedIn、简历和面试交付物。 ## 交付物 - `reports/report.md` - `reports/executive-summary.md` - `reports/risk-assessment.md` - `reports/recommendations.md` - `output/pdf/SOC-Detection-Engineering-Report.pdf` - `docs/lab-setup.md` - `docs/methodology.md` - `docs/mitre-attack-mapping.md` - `docs/interview-prep.md` - `docs/resume-bullets.md` - `docs/github-actions/markdown-check.yml` - `linkedin/linkedin-post.md` - `portfolio/project-card.md` - 位于 `scripts/` 下的检测脚本 - 位于 `evidence/` 下的证据 ## 成功标准 - 记录了至少 5 个检测。 - 每个检测都包含逻辑、说明、预期输出和 MITRE 映射。 - 证据可从本地模拟日志中复现。 - 项目安全、合法且面向招聘者。 ## 快速开始 ``` python3 scripts/generate_sample_logs.py python3 scripts/detect_linux_auth_events.py cat evidence/alerts-summary.md ``` ## 结果 | 指标 | 数值 | | --- | --- | | 模拟日志事件 | 22 | | 告警类别 | 5 | | 总告警数 | 8 | | 高严重性告警类型 | 3 | | 映射的 MITRE 技术 | 6 | PDF 报告:[`output/pdf/SOC-Detection-Engineering-Report.pdf`](output/pdf/SOC-Detection-Engineering-Report.pdf) ## 仓库结构 ``` . ├── detections/ ├── docs/ │ └── github-actions/ ├── evidence/ ├── reports/ ├── scripts/ ├── screenshots/ ├── linkedin/ ├── portfolio/ └── assets/ ``` ## GitHub Actions `docs/github-actions/markdown-check.yml` 中包含一个 Markdown 验证工作流模板。 要在具有 GitHub Actions 工作流权限的仓库中启用它,请将其复制到 `.github/workflows/markdown-check.yml`。 ## 免责声明 这是一个使用模拟日志的安全本地实验室。未攻击任何真实系统。
标签:Cloudflare, Linux身份验证, MITRE ATT&CK, Sigma规则, SOC实验室, 安全运营, 扫描框架, 目标导入, 逆向工具, 防御加固