Fares-20/Enterprise-SOC-for-Remote-Threat-Detection

GitHub: Fares-20/Enterprise-SOC-for-Remote-Threat-Detection

该项目是一个基于 Splunk SIEM 的企业级安全运营中心模拟环境,用于远程用户威胁检测、攻击模拟及 NIST 事件响应流程实践。

Stars: 0 | Forks: 0

# 🛡️ 面向远程威胁检测的企业级 SOC ## 📌 概述 本项目展示了针对远程用户的威胁进行检测、调查和响应的企业级安全运营中心(SOC)环境的设计与实现。 该项目使用 **Splunk Enterprise** 作为 SIEM 平台,用于收集、标准化、关联和分析来自多个安全源的日志,同时模拟真实的攻击场景。 # 🎯 目标 - 构建功能完备的 SOC 实验室 - 集中化日志收集 - 检测安全事件 - 使用 Splunk 调查攻击 - 生成事件报告 - 应用 NIST 事件响应框架 - 提升企业资产的可见性 # 🏗️ 架构 该 SOC 环境包括: - 👨‍💻 远程用户 - 🔥 pfSense 防火墙 / VPN 网关 - 🖥️ Windows Server (Active Directory) - 💻 Windows 客户端 - 📊 Splunk Enterprise SIEM - 📡 Splunk Universal Forwarder - 🛠️ Sysmon - 🌐 Apache Web Server - ⚔️ Kali Linux(攻击机) # 🔧 使用的技术 | 技术 | 用途 | |------------|----------| | Splunk Enterprise | SIEM 平台 | | Splunk Universal Forwarder | 日志转发 | | Sysmon | 端点监控 | | Windows 事件日志 | 身份验证监控 | | Cisco ASA 防火墙日志 | 网络安全监控 | | Apache 访问日志 | Web 监控 | | Kali Linux | 攻击模拟 | | Nmap | 网络侦察 | | Hydra | 暴力破解模拟 | | PowerShell | 攻击模拟 | | GitHub | 文档与版本控制 | # 📂 日志源 SIEM 会从多个来源摄取日志: - Windows 安全日志 - Sysmon 日志 - Cisco ASA 防火墙日志 - Apache 访问日志 这些日志在 Splunk 中进行标准化和关联,以识别恶意活动。 # 🚨 攻击场景 模拟攻击遵循以下顺序: 1. 端口扫描 2. 暴力破解攻击 3. 成功的身份验证 4. PowerShell 恶意软件执行 5. 清除安全日志 6. 事件检测 7. 事件调查 8. 事件响应 # 🔍 检测用例 - 端口扫描检测 - 暴力破解检测 - 多次失败后的成功登录 - 可疑的 PowerShell 执行 - 清除 Windows 安全日志 # 📊 Splunk 仪表板 该项目包含用于监控以下内容的仪表板: - 身份验证事件 - 登录失败 - 登录成功 - 防火墙活动 - Web 流量 - PowerShell 执行 - 安全警报 # 🛡 事件响应流程 调查遵循 NIST 事件响应生命周期: 1. 准备 2. 检测与分析 3. 遏制 4. 根除 5. 恢复 6. 经验教训 # 📁 仓库结构 ``` Enterprise-SOC-for-Remote-Threat-Detection/ │ ├── README.md ├── Building an Enterprise SOC.pdf ├── Enterprise SOC for Remote Threat Detection.pptx ├── TechCorp_SOC_Incident_Investigation_Report.docx ├── enriched_soc_simulation_logs.json ├── SOC_12_Assets.xlsx ├── SOC_Lab_Communication_Matrix.xlsx ├── Network Diagram.png └── playbook.jpeg ``` # 📈 事件总结 模拟攻击者执行了以下操作: - 网络侦察 - 暴力破解身份验证 - 管理员账户失陷 - 恶意 PowerShell 执行 - 篡改 Windows 安全日志 该事件已通过 Splunk 中的日志关联被成功检测。 # 🎓 学习成果 本项目展示了以下方面的实践经验: - SOC 运营 - SIEM 管理 - 威胁检测 - 日志分析 - 事件关联 - 事件调查 - 事件响应 - Windows 安全监控 - 威胁狩猎 # 📚 框架 - NIST 事件响应框架 - MITRE ATT&CK 框架 # 👨‍💻 作者 **Fares Mohamed** 网络安全工程师 - SOC 分析师 - SIEM 爱好者 - 网络安全 - 事件响应 # ⭐ 如果您觉得这个项目有用 请考虑给它点个 **Star ⭐**
标签:AI合规, CTI, 安全运营中心, 库, 应急响应, 插件系统, 攻击模拟, 网络映射, 驱动签名利用