Monisha-krish/SOC-Detection-Engineering-Lab
GitHub: Monisha-krish/SOC-Detection-Engineering-Lab
基于 Splunk Enterprise 和 Sysmon 构建的企业级 SOC 检测工程实验室,演示跨 Windows/Linux 平台的安全事件收集、检测、关联调查与可视化。
Stars: 0 | Forks: 0
# 🛡️ SOC 检测工程实验室
一个使用 **Splunk Enterprise**、**Windows 10**、**Ubuntu Linux**、**Sysmon** 和 **Splunk Universal Forwarder** 构建的实操型安全运营中心 (SOC) 检测工程实验室。本项目演示了如何使用真实的日志源和检测逻辑,跨 Windows 和 Linux 系统收集、监控、检测、调查和关联安全事件。
# 📌 项目概述
本项目的目标是通过从多个操作系统收集日志、创建检测规则、关联可疑活动、将检测映射到 MITRE ATT&CK 框架,以及通过 Splunk 仪表板可视化安全事件,来模拟企业级的 SOC 环境。
本仓库展示了以下方面的实践技能:
* SOC 监控
* 检测工程
* 威胁狩猎
* 安全日志分析
* 事件调查
* MITRE ATT&CK 映射
* Splunk 仪表板开发
# 🎯 目标
* 使用 Splunk Enterprise 构建集中式日志记录环境。
* 实时收集 Windows 和 Linux 日志。
* 配置 Sysmon 以增强 Windows 遥测数据。
* 创建基于 SPL 的检测规则。
* 构建用于发现可疑活动的关联搜索。
* 开发用于安全监控的 SOC 仪表板。
* 记录检测过程,包含调查步骤和 MITRE ATT&CK 映射。
# 🏗️ 实验室架构
```
Windows 10 VM
(Sysmon + Splunk Universal Forwarder)
│
│ Forwarded Events
▼
Splunk Enterprise
(Ubuntu VM)
│
┌──────────┼──────────┐
│ │ │
▼ ▼ ▼
Detection Dashboard Investigation
Rules Visuals & Alerts
```
# ⚙️ 使用的技术
* Splunk Enterprise
* Splunk Universal Forwarder
* Sysmon
* Ubuntu Linux
* Windows 10
* Oracle VirtualBox
* SPL (Search Processing Language)
* Git
* GitHub
# 📂 仓库结构
```
SOC-Detection-Engineering-Lab
│
├── architecture
├── docs
├── detections
│ ├── linux
│ └── windows
├── correlation_searches
├── dashboards
├── screenshots
│ ├── linux
│ ├── windows
│ ├── dashboard
│ └── alerts
├── sample_logs
│ ├── linux
│ └── windows
└── alerts
```
# 🔍 检测用例
## Windows
* PowerShell 执行监控
* 进程创建监控
* 网络连接监控
* DNS 查询监控
* 注册表修改检测
* 文件创建监控
* 持久化检测
## Linux
* SSH 认证监控
* 失败登录检测
* 成功登录检测
* SSH 暴力破解检测
* 认证日志分析
# 🔗 关联搜索
本项目包含关联搜索,结合多个安全事件以识别可疑行为,包括:
* SSH 暴力破解 → 成功登录
* PowerShell 执行 → 网络连接
* 注册表修改 → 进程执行
* PowerShell 活动 → DNS 解析
# 🎯 MITRE ATT&CK 覆盖范围
本项目涵盖的示例技术包括:
* 命令和脚本解释器
* PowerShell
* 系统信息发现
* 网络服务发现
* 注册表修改
* 有效账户
* 暴力破解
* 远程服务
额外的映射将在各项检测的文档中予以说明。
# 📊 仪表板
该项目包含用于监控的仪表板:
* Windows 安全事件
* Linux 认证事件
* PowerShell 活动
* DNS 查询
* 网络连接
* 注册表更改
* SSH 活动
* SOC 概览
# 🚨 告警示例
已实现的告警示例:
* 过多的 SSH 登录失败
* PowerShell 执行检测
* 可疑网络连接
* 注册表持久化检测
* 暴力破解关联告警
# 📸 截图
将包含以下组件的截图:
* Splunk 仪表板
* 检测搜索
* 关联搜索
* Windows 监控
* Linux 监控
* 告警生成
# 📈 展示的技能
* Splunk Enterprise 管理
* SIEM 监控
* 检测工程
* 安全日志分析
* 威胁狩猎
* Windows 安全监控
* Linux 安全监控
* Sysmon 配置
* SPL 查询开发
* MITRE ATT&CK 映射
* 事件调查
* 安全仪表板开发
# 🚀 未来改进
计划的改进包括:
* Sigma Rule 集成
* 检测即代码
* 自定义 Splunk 应用
* 威胁情报集成
* 额外的关联搜索
* 自动化告警
* IOC 富化
* SOAR 集成
# 📄 许可证
本项目出于教育和作品集目的进行分享。
标签:Sysmon, 安全运营中心, 网络安全研究, 网络映射