Faisal-x00/soc-detection-and-incident-response-lab

GitHub: Faisal-x00/soc-detection-and-incident-response-lab

基于 Wazuh 的端到端 SOC 实验室,通过模拟真实攻击行为来实践检测工程、差距分析、事件调查与响应的完整工作流。

Stars: 0 | Forks: 0

# SOC 检测工程与事件响应实验室 ## 状态 🔧 检测工程已完成 — 场景文档编写中。 ## 概述 一个端到端、自托管的 SOC 实验室,模拟真实的攻击者行为,通过结合 Wazuh 的内置规则集和映射到 MITRE ATT&CK 的自定义检测规则来进行检测,并跟进完整的调查、时间线重建、误报分析和事件报告——涵盖完整的 SOC 分析师工作流,而不仅仅是告警生成。 本实验室中的每个场景都没有脱离实际去从零开始编写检测规则,而是遵循一种**差距分析**方法:模拟行为,确定 Wazuh 现有规则集已经捕获的内容,识别该覆盖范围中的特定盲点,然后构建自定义规则来填补它。在其中一个案例中,现有的覆盖范围已经很强大,没有发现差距——这一发现也被记录在案,因为知道何时*不*构建东西与构建东西一样,都是检测工程的重要组成部分。 ## 安全与范围 本项目的所有活动均在隔离的 VMware 实验室环境中进行(仅主机/NAT 网络,无面向互联网的暴露)。未使用任何真实的恶意软件。所有“恶意”行为(PowerShell 编码、持久化技术、凭据访问模式、暴力破解尝试)均使用安全、非破坏性的方法进行模拟,其唯一目的是测试检测工程和事件响应工作流。任何时候都没有将公共系统、第三方基础设施或真实凭据作为目标或进行访问。 ## 实验室架构 - **Wazuh manager/indexer/dashboard**:Ubuntu server(一体化安装) - **Windows 10 endpoint**:Sysmon(SwiftOnSecurity 配置)+ Wazuh agent - **Ubuntu endpoint**:Wazuh agent,原生 auth.log 监控 - **已启用 Archives**:通过 `wazuh-archives-*` 实现完整事件可见性(匹配 + 未匹配),而不仅仅是告警事件 有关完整详细信息,请参阅 `architecture/data-flow.md`。 ## 场景 | # | 场景 | ATT&CK ID | 内置覆盖 | 自定义规则 | 结果 | |---|----------|-----------|--------------------|-----------|---------| | 001 | PowerShell 编码命令 | T1059.001 | 部分(仅 PowerShell 父进程) | `100002` | 差距已填补 | | 002 | 新建本地管理员帐户 | T1136.001, T1098 | 是,仅限单事件 | `100010`(关联) | 差距已填补 | | 003 | 可疑 Windows 服务创建 | T1543.003 | 是,通用严重级别 | `100020` | 差距已填补 | | 004 | 启动文件夹持久化 | T1547.001 | 是,非位置感知 | `100030`(尝试) | 已识别差距;已记录工具限制 | | 005 | SSH 暴力破解(Linux) | T1110.001 | 强,存在一个阈值差距 | `100040` | 差距已填补 | ## 主要发现 - 针对 Wazuh 的默认规则集,在 5 个场景中的 4 个识别并填补了真实的检测差距,而不仅仅是针对以前未覆盖的行为编写规则 - 发现了一个可重现的 Wazuh 规则关联限制(same-chain 规则相互竞争而不是共存),在两个独立的场景中均被观察到——请参阅 `lessons-learned.md` - 使用与模拟场景相同的分类处理流程,调查并解决了一个真实的、自然发生的误报(合法的磁盘清理活动)——请参阅 `threat-hunting/windows-hunting-notes.md` ## 路线图 - [x] Windows endpoint 上的 Sysmon 部署 - [x] 5 个核心场景(模拟 → 检测 → 调查) - [x] 启用 Wazuh archives 以进行全可见性威胁狩猎 - [ ] 每个场景的完整文档(README、证据、调查、时间线、响应) - [ ] 事件报告 - [ ] 检测覆盖矩阵 - [ ] Sigma 规则等效项(延伸目标) - [ ] 延伸目标:Velociraptor DFIR 集成 - [ ] 延伸目标:TheHive 案例管理
标签:Wazuh, 安全实验室, 安全运营中心, 库, 应急响应, 网络映射