bhaveshkhatri81/SOC-Alert-Triage-and-Incident-Investigation-Lab

GitHub: bhaveshkhatri81/SOC-Alert-Triage-and-Incident-Investigation-Lab

基于 Wazuh SIEM 搭建的企业级 SOC 检测与响应实验室,用于安全告警分类、事件调查及检测工程的实战演练。

Stars: 0 | Forks: 0

# 🛡️ 使用 Wazuh 的企业 SOC 检测与响应实验室 ## 点击图片观看视频 [![观看视频](https://img.youtube.com/vi/-UpY50KhLiY/maxresdefault.jpg)](https://www.youtube.com/watch?v=-UpY50KhLiY) ## 🔍 项目概述 本项目演示了一个使用 **Wazuh SIEM** 构建的**真实安全运营中心 (SOC)** 环境,用于监控、检测和分析 **Windows 和 Linux 终端**上的安全威胁。 与基础实验室不同,本仓库专注于: - 📌 **检测工程** - 📌 **基于证据的 SOC 调查** - 📌 **与 MITRE ATT&CK 对齐的检测** - 📌 **分析师分类与响应工作流** 所有检测均通过受控实验室环境中的**实战攻击模拟**进行了验证。 ## 🧪 真实 SOC 实验室设置(物理环境)

此图展示了用于构建和验证本项目的**实际物理 SOC 实验室环境**。 ### 实验室亮点 - 同时运行多个系统以模拟真实的 SOC 工作负载 - 独立的机器用于: - 🛡️ SOC 监控(Wazuh Manager 和 Dashboard) - 🐧 Linux 终端(Ubuntu – Devang) - 🪟 Windows 终端(Aditya, Jamod) - ⚔️ 攻击机(Kali Linux) - 所有系统均连接在受控的内部网络中 ### 为什么这很重要 与模拟截图或单虚拟机实验室不同,此设置展示了: - 实时攻击执行 - 并发告警生成 - 分析师在真实条件下的调查 ## 🎯 为什么本项目与众不同 ✅ 不仅仅是日志收集 ✅ 不仅仅是截图 ✅ 不仅仅是理论 本项目展示了: - *攻击从攻击者角度看是什么样的* - *Wazuh 如何检测它们* - *SOC 分析师如何调查它们* - *证据如何被记录* ## 🧱 SOC 实验室架构与工作流

Wazuh SOC Architecture

### 组件 - **Wazuh Manager 和 Dashboard** – 中央 SIEM - **Windows 10 终端** – Aditya, Jamod - **Ubuntu Linux 终端** – Devang - **Kali Linux** – 攻击模拟 - **Slack 集成** – 实时告警 ### 工作流程 1. 终端上的事件生成 2. 通过 Wazuh agent 进行日志收集 3. 关联与规则评估 4. 告警生成 5. SOC 分类与调查 6. 证据记录 ## 🚨 已实现的检测用例 ### 🐧 Ubuntu – Devang(Linux 终端) #### 🔐 SSH 暴力破解 - 检测重复的 SSH 身份验证失败 - 从 `auth.log` 分析日志 - MITRE: **T1110 – Brute Force**

#### 🌐 Nmap 网络扫描检测 - 检测主动侦察和端口扫描 - 使用漏洞和威胁检测遥测数据 - MITRE: **T1046, T1595**

### 🪟 Windows – Aditya(Windows 10) #### 🔑 登录失败尝试 - 检测重复的身份验证失败 - Windows Event ID **4625** - MITRE: **T1110**

#### 🌐 网络侦察 (Nmap) - 检测服务枚举和端口扫描 - MITRE: **T1046, T1595** #### 🖥️ RDP 暴力破解 - 检测通过 RDP 的暴力破解尝试 - 登录类型 **10** - MITRE: **T1110, T1021.001**

### 🪟 Windows – Jamod(Windows 10) #### 🖥️ RDP 暴力破解 - 高严重性的 RDP 身份验证失败 - 与 MITRE dashboards 关联的证据 ## 🧠 证据驱动的 SOC 文档 每个检测包括: - 📸 截图(Dashboards 和告警) - 📄 日志(OS 级别) - 🎥 攻击与检测视频 - 🧭 MITRE ATT&CK 映射 - 🧾 分析师调查笔记 👉 中央索引位于:03-Detection-Use-Cases/evidence-index.md ## 📊 Dashboards 与威胁可视化

使用的 Dashboards: - MITRE ATT&CK - Threat Hunting - Vulnerability Detection - Authentication Monitoring - Agent Health ## 📐 标准与框架对齐 - **MITRE ATT&CK** – 检测映射与报告 - **NIST 800 概念** – 监控与检测原则 - **SOC 最佳实践** – 分类、升级、记录 ## 🧪 道德免责声明 所有活动均在**受控实验室环境**中进行。 未涉及任何生产系统、真实用户或未经授权的网络。 📄 详情请参阅 `DISCLAIMER.md`。 ## 🚀 本项目展示的内容 ✔ SOC 分析师思维 ✔ 检测工程技能 ✔ 日志分析与关联 ✔ 事件调查 ✔ 专业的文档记录
标签:AMSI绕过, Wazuh, 威胁检测, 安全实验环境, 安全运营, 库, 应急响应, 扫描框架