zamansec/Enterprise-Network-Detection-Lab
GitHub: zamansec/Enterprise-Network-Detection-Lab
基于 Splunk、Zeek 和 Suricata 构建的企业网络安全监控实验室,提供集中化的网络遥测数据收集、入侵检测和威胁狩猎能力。
Stars: 0 | Forks: 0
# 企业网络安全监控实验室
# 概述
企业网络安全监控实验室是一个实用的安全运营中心(SOC)项目,旨在模拟企业级的网络监控和威胁检测。
本项目的主要目标是构建一个集中化的监控平台,用于收集、分析和调查企业环境中生成的网络遥测数据。通过将 Splunk Enterprise 与 Zeek 和 Suricata 集成,该实验室提供了对网络活动的全面可见性,并展示了现代 SOC 团队如何检测和调查潜在的安全威胁。
本仓库是一个不断发展的网络安全项目,专注于安全监控、检测工程、威胁狩猎和 SOC 运营。
# 目标
- 构建企业级的网络安全监控平台。
- 使用 Splunk Enterprise 集中安全遥测数据。
- 使用 Zeek 监控网络流量。
- 使用 Suricata 检测恶意活动。
- 开发自定义 SPL 检测查询。
- 创建企业安全仪表板。
- 执行基于网络的威胁狩猎。
- 模拟真实的 SOC 工作流。
- 提升实用的蓝队技能。
# 技术栈
| 类别 | 技术 |
|-----------|------------|
| 操作系统 | Ubuntu Linux |
| SIEM | Splunk Enterprise |
| 网络安全监控 | Zeek |
| 入侵检测系统 | Suricata |
| 版本控制 | Git |
| 代码仓库 | GitHub |
# 功能
- 集中式安全监控
- 网络流量分析
- 入侵检测
- DNS 监控
- HTTP 监控
- SSL/TLS 监控
- 网络元数据收集
- 安全事件关联
- 检测工程
- 威胁狩猎
- 自定义 SPL 查询
- 安全仪表板
# 项目架构
```
Internet
│
▼
Network Traffic
│
▼
Ubuntu Security Server
┌─────────────────────────────────────┐
│ │
│ Splunk Enterprise │
│ ▲ │
│ │ │
│ ┌────────┴────────┐ │
│ │ │ │
│ Zeek Suricata │
│ │ │ │
└──────┴─────────────────┴────────────┘
│
▼
Dashboards • Alerts • Threat Hunting
```
# 仓库结构
```
Enterprise-Network-Security-Monitoring-Lab/
├── Architecture/
├── Config/
│ ├── Splunk/
│ ├── Zeek/
│ └── Suricata/
├── Dashboards/
├── Detection-Rules/
├── Docs/
├── SPL-Queries/
└── Screenshots/
```
# 检测能力
当前的能力包括:
- 网络连接监控
- DNS 活动分析
- HTTP 流量监控
- SSL/TLS 可见性
- 入侵检测
- 安全事件收集
- 网络元数据分析
计划实现的能力包括:
- 端口扫描检测
- DNS 隧道检测
- Beacon 检测
- 可疑 HTTP 活动检测
- 数据渗出检测
- 横向移动检测
# MITRE ATT&CK 映射
| MITRE 技术 | 检测来源 |
|-----------------|------------------|
| T1046 - 网络服务扫描 | Zeek + Suricata |
| T1071 - 应用层协议 | Zeek |
| T1071.004 - DNS | Zeek DNS 日志 |
| T1021 - 远程服务 | Zeek |
| T1049 - 系统网络连接 | 未来集成 |
| T1059 - 命令和脚本解释器 | 未来集成 |
# 学习成果
本项目展示了以下方面的实用知识:
- 安全运营中心(SOC)
- 网络安全监控
- SIEM 工程
- Linux 管理
- 检测工程
- 威胁狩猎
- 安全监控
- 网络流量分析
- 入侵检测
- 日志分析
# 当前进度
- ✅ Ubuntu Linux 环境
- ✅ Splunk Enterprise 部署
- ✅ Zeek 部署
- ✅ Suricata 部署
- ✅ Zeek 日志集成
- ✅ Suricata 日志集成
- ✅ 实时日志收集
- ⏳ 企业仪表板
- ⏳ 检测规则
- ⏳ SPL 查询
- ⏳ 文档
- ⏳ 威胁狩猎场景
# 截图
随着项目的推进,将添加有关仪表板、检测、网络分析和监控工作流的截图。
# 未来增强计划
- Windows 端点监控
- Sysmon 集成
- Splunk Universal Forwarder
- Atomic Red Team
- Sigma 规则
- Wazuh 集成
- SOAR 集成
- 事件响应 Playbook
- 高级威胁狩猎
- 检测自动化
# 作者
**GitHub:** @zamansec
# 许可证
本项目基于 MIT 许可证授权。
标签:Metaprompt, SOC运营, 管理员页面发现, 网络安全, 网络安全研究, 防御绕过, 隐私保护