Monisha-krish/SOC-Detection-Engineering-Lab

GitHub: Monisha-krish/SOC-Detection-Engineering-Lab

基于 Splunk Enterprise 和 Sysmon 构建的企业级 SOC 检测工程实验室,演示跨 Windows/Linux 平台的安全事件收集、检测、关联调查与可视化。

Stars: 0 | Forks: 0

# 🛡️ SOC 检测工程实验室 一个使用 **Splunk Enterprise**、**Windows 10**、**Ubuntu Linux**、**Sysmon** 和 **Splunk Universal Forwarder** 构建的实操型安全运营中心 (SOC) 检测工程实验室。本项目演示了如何使用真实的日志源和检测逻辑,跨 Windows 和 Linux 系统收集、监控、检测、调查和关联安全事件。 # 📌 项目概述 本项目的目标是通过从多个操作系统收集日志、创建检测规则、关联可疑活动、将检测映射到 MITRE ATT&CK 框架,以及通过 Splunk 仪表板可视化安全事件,来模拟企业级的 SOC 环境。 本仓库展示了以下方面的实践技能: * SOC 监控 * 检测工程 * 威胁狩猎 * 安全日志分析 * 事件调查 * MITRE ATT&CK 映射 * Splunk 仪表板开发 # 🎯 目标 * 使用 Splunk Enterprise 构建集中式日志记录环境。 * 实时收集 Windows 和 Linux 日志。 * 配置 Sysmon 以增强 Windows 遥测数据。 * 创建基于 SPL 的检测规则。 * 构建用于发现可疑活动的关联搜索。 * 开发用于安全监控的 SOC 仪表板。 * 记录检测过程,包含调查步骤和 MITRE ATT&CK 映射。 # 🏗️ 实验室架构 ``` Windows 10 VM (Sysmon + Splunk Universal Forwarder) │ │ Forwarded Events ▼ Splunk Enterprise (Ubuntu VM) │ ┌──────────┼──────────┐ │ │ │ ▼ ▼ ▼ Detection Dashboard Investigation Rules Visuals & Alerts ``` # ⚙️ 使用的技术 * Splunk Enterprise * Splunk Universal Forwarder * Sysmon * Ubuntu Linux * Windows 10 * Oracle VirtualBox * SPL (Search Processing Language) * Git * GitHub # 📂 仓库结构 ``` SOC-Detection-Engineering-Lab │ ├── architecture ├── docs ├── detections │ ├── linux │ └── windows ├── correlation_searches ├── dashboards ├── screenshots │ ├── linux │ ├── windows │ ├── dashboard │ └── alerts ├── sample_logs │ ├── linux │ └── windows └── alerts ``` # 🔍 检测用例 ## Windows * PowerShell 执行监控 * 进程创建监控 * 网络连接监控 * DNS 查询监控 * 注册表修改检测 * 文件创建监控 * 持久化检测 ## Linux * SSH 认证监控 * 失败登录检测 * 成功登录检测 * SSH 暴力破解检测 * 认证日志分析 # 🔗 关联搜索 本项目包含关联搜索,结合多个安全事件以识别可疑行为,包括: * SSH 暴力破解 → 成功登录 * PowerShell 执行 → 网络连接 * 注册表修改 → 进程执行 * PowerShell 活动 → DNS 解析 # 🎯 MITRE ATT&CK 覆盖范围 本项目涵盖的示例技术包括: * 命令和脚本解释器 * PowerShell * 系统信息发现 * 网络服务发现 * 注册表修改 * 有效账户 * 暴力破解 * 远程服务 额外的映射将在各项检测的文档中予以说明。 # 📊 仪表板 该项目包含用于监控的仪表板: * Windows 安全事件 * Linux 认证事件 * PowerShell 活动 * DNS 查询 * 网络连接 * 注册表更改 * SSH 活动 * SOC 概览 # 🚨 告警示例 已实现的告警示例: * 过多的 SSH 登录失败 * PowerShell 执行检测 * 可疑网络连接 * 注册表持久化检测 * 暴力破解关联告警 # 📸 截图 将包含以下组件的截图: * Splunk 仪表板 * 检测搜索 * 关联搜索 * Windows 监控 * Linux 监控 * 告警生成 # 📈 展示的技能 * Splunk Enterprise 管理 * SIEM 监控 * 检测工程 * 安全日志分析 * 威胁狩猎 * Windows 安全监控 * Linux 安全监控 * Sysmon 配置 * SPL 查询开发 * MITRE ATT&CK 映射 * 事件调查 * 安全仪表板开发 # 🚀 未来改进 计划的改进包括: * Sigma Rule 集成 * 检测即代码 * 自定义 Splunk 应用 * 威胁情报集成 * 额外的关联搜索 * 自动化告警 * IOC 富化 * SOAR 集成 # 📄 许可证 本项目出于教育和作品集目的进行分享。
标签:Sysmon, 安全运营中心, 网络安全研究, 网络映射