Fares-20/Enterprise-SOC-for-Remote-Threat-Detection
GitHub: Fares-20/Enterprise-SOC-for-Remote-Threat-Detection
该项目是一个基于 Splunk SIEM 的企业级安全运营中心模拟环境,用于远程用户威胁检测、攻击模拟及 NIST 事件响应流程实践。
Stars: 0 | Forks: 0
# 🛡️ 面向远程威胁检测的企业级 SOC
## 📌 概述
本项目展示了针对远程用户的威胁进行检测、调查和响应的企业级安全运营中心(SOC)环境的设计与实现。
该项目使用 **Splunk Enterprise** 作为 SIEM 平台,用于收集、标准化、关联和分析来自多个安全源的日志,同时模拟真实的攻击场景。
# 🎯 目标
- 构建功能完备的 SOC 实验室
- 集中化日志收集
- 检测安全事件
- 使用 Splunk 调查攻击
- 生成事件报告
- 应用 NIST 事件响应框架
- 提升企业资产的可见性
# 🏗️ 架构
该 SOC 环境包括:
- 👨💻 远程用户
- 🔥 pfSense 防火墙 / VPN 网关
- 🖥️ Windows Server (Active Directory)
- 💻 Windows 客户端
- 📊 Splunk Enterprise SIEM
- 📡 Splunk Universal Forwarder
- 🛠️ Sysmon
- 🌐 Apache Web Server
- ⚔️ Kali Linux(攻击机)
# 🔧 使用的技术
| 技术 | 用途 |
|------------|----------|
| Splunk Enterprise | SIEM 平台 |
| Splunk Universal Forwarder | 日志转发 |
| Sysmon | 端点监控 |
| Windows 事件日志 | 身份验证监控 |
| Cisco ASA 防火墙日志 | 网络安全监控 |
| Apache 访问日志 | Web 监控 |
| Kali Linux | 攻击模拟 |
| Nmap | 网络侦察 |
| Hydra | 暴力破解模拟 |
| PowerShell | 攻击模拟 |
| GitHub | 文档与版本控制 |
# 📂 日志源
SIEM 会从多个来源摄取日志:
- Windows 安全日志
- Sysmon 日志
- Cisco ASA 防火墙日志
- Apache 访问日志
这些日志在 Splunk 中进行标准化和关联,以识别恶意活动。
# 🚨 攻击场景
模拟攻击遵循以下顺序:
1. 端口扫描
2. 暴力破解攻击
3. 成功的身份验证
4. PowerShell 恶意软件执行
5. 清除安全日志
6. 事件检测
7. 事件调查
8. 事件响应
# 🔍 检测用例
- 端口扫描检测
- 暴力破解检测
- 多次失败后的成功登录
- 可疑的 PowerShell 执行
- 清除 Windows 安全日志
# 📊 Splunk 仪表板
该项目包含用于监控以下内容的仪表板:
- 身份验证事件
- 登录失败
- 登录成功
- 防火墙活动
- Web 流量
- PowerShell 执行
- 安全警报
# 🛡 事件响应流程
调查遵循 NIST 事件响应生命周期:
1. 准备
2. 检测与分析
3. 遏制
4. 根除
5. 恢复
6. 经验教训
# 📁 仓库结构
```
Enterprise-SOC-for-Remote-Threat-Detection/
│
├── README.md
├── Building an Enterprise SOC.pdf
├── Enterprise SOC for Remote Threat Detection.pptx
├── TechCorp_SOC_Incident_Investigation_Report.docx
├── enriched_soc_simulation_logs.json
├── SOC_12_Assets.xlsx
├── SOC_Lab_Communication_Matrix.xlsx
├── Network Diagram.png
└── playbook.jpeg
```
# 📈 事件总结
模拟攻击者执行了以下操作:
- 网络侦察
- 暴力破解身份验证
- 管理员账户失陷
- 恶意 PowerShell 执行
- 篡改 Windows 安全日志
该事件已通过 Splunk 中的日志关联被成功检测。
# 🎓 学习成果
本项目展示了以下方面的实践经验:
- SOC 运营
- SIEM 管理
- 威胁检测
- 日志分析
- 事件关联
- 事件调查
- 事件响应
- Windows 安全监控
- 威胁狩猎
# 📚 框架
- NIST 事件响应框架
- MITRE ATT&CK 框架
# 👨💻 作者
**Fares Mohamed**
网络安全工程师
- SOC 分析师
- SIEM 爱好者
- 网络安全
- 事件响应
# ⭐ 如果您觉得这个项目有用
请考虑给它点个 **Star ⭐**
标签:AI合规, CTI, 安全运营中心, 库, 应急响应, 插件系统, 攻击模拟, 网络映射, 驱动签名利用