kkaattssuu/Final-Project
GitHub: kkaattssuu/Final-Project
蓝队课程期末项目,搭建了覆盖 AWS 云端与本地网络的统一 SOC 实验室,实现威胁检测、事件响应和访问控制的全流程演练。
Stars: 0 | Forks: 0
# 蓝队 SOC 实验室
这是我 Code Academy 蓝队课程的期末项目,与我的两名队友 Polad 和 Shamil 共同完成。
我们搭建了两个环境:一个在 AWS(云)上,一个在本地运行(本地部署),并将它们连接成一个统一的 SOC 环境。
## 我们的工作
**云端部分 (AWS)**
搭建了 3 台虚拟机:Web、SOC、Gateway。将 SSH 权限限制为仅允许我们自己的 IP 访问。在 Nginx + ModSecurity 网关后方的 Docker 中运行 WordPress。使用基础的 SQLi payload 测试了 WAF —— 成功被拦截并正确记录。在服务器上安装了 Wazuh 进行监控。为暴力破解、SQLi、XSS 和 WordPress 攻击编写了自定义规则。接入了 VirusTotal 和 AbuseIPDB 用于威胁情报。搭建了 TheHive + Cortex 用于案例管理,并配置了 Slack/电子邮件/Telegram 警报。
**本地部分 (本地)**
配置了 Palo Alto,并为 Clients、Servers、PAM、WAN 划分了区域。将计算机加入 Active Directory,使用 User-ID 将策略与用户绑定。应用了 GPO —— 包括 USB 封锁、密码策略、屏幕锁定等。在防火墙上设置了 DoS/端口扫描检测。通过 syslog 将日志发送到 Splunk。使用 LDAP 配置了 PAM,并通过 Guacamole 进行会话记录。同时将 Palo Alto 日志也输入到 Wazuh 中,从而将所有数据集中到一处。
## 使用的工具
Wazuh, Palo Alto, TheHive, Cortex, Splunk, Docker, Nginx/ModSecurity, Active Directory, PAM, Guacamole
标签:AMSI绕过, Checkov, CISA项目, Terraform 安全, WAF, 堡垒机, 威胁检测, 安全实验室, 安全运营中心, 插件系统, 文件完整性监控, 漏洞利用检测, 网络映射, 请求拦截, 配置错误