zamansec/Enterprise-Network-Detection-Lab

GitHub: zamansec/Enterprise-Network-Detection-Lab

基于 Splunk、Zeek 和 Suricata 构建的企业网络安全监控实验室,提供集中化的网络遥测数据收集、入侵检测和威胁狩猎能力。

Stars: 0 | Forks: 0

# 企业网络安全监控实验室 # 概述 企业网络安全监控实验室是一个实用的安全运营中心(SOC)项目,旨在模拟企业级的网络监控和威胁检测。 本项目的主要目标是构建一个集中化的监控平台,用于收集、分析和调查企业环境中生成的网络遥测数据。通过将 Splunk Enterprise 与 Zeek 和 Suricata 集成,该实验室提供了对网络活动的全面可见性,并展示了现代 SOC 团队如何检测和调查潜在的安全威胁。 本仓库是一个不断发展的网络安全项目,专注于安全监控、检测工程、威胁狩猎和 SOC 运营。 # 目标 - 构建企业级的网络安全监控平台。 - 使用 Splunk Enterprise 集中安全遥测数据。 - 使用 Zeek 监控网络流量。 - 使用 Suricata 检测恶意活动。 - 开发自定义 SPL 检测查询。 - 创建企业安全仪表板。 - 执行基于网络的威胁狩猎。 - 模拟真实的 SOC 工作流。 - 提升实用的蓝队技能。 # 技术栈 | 类别 | 技术 | |-----------|------------| | 操作系统 | Ubuntu Linux | | SIEM | Splunk Enterprise | | 网络安全监控 | Zeek | | 入侵检测系统 | Suricata | | 版本控制 | Git | | 代码仓库 | GitHub | # 功能 - 集中式安全监控 - 网络流量分析 - 入侵检测 - DNS 监控 - HTTP 监控 - SSL/TLS 监控 - 网络元数据收集 - 安全事件关联 - 检测工程 - 威胁狩猎 - 自定义 SPL 查询 - 安全仪表板 # 项目架构 ``` Internet │ ▼ Network Traffic │ ▼ Ubuntu Security Server ┌─────────────────────────────────────┐ │ │ │ Splunk Enterprise │ │ ▲ │ │ │ │ │ ┌────────┴────────┐ │ │ │ │ │ │ Zeek Suricata │ │ │ │ │ └──────┴─────────────────┴────────────┘ │ ▼ Dashboards • Alerts • Threat Hunting ``` # 仓库结构 ``` Enterprise-Network-Security-Monitoring-Lab/ ├── Architecture/ ├── Config/ │ ├── Splunk/ │ ├── Zeek/ │ └── Suricata/ ├── Dashboards/ ├── Detection-Rules/ ├── Docs/ ├── SPL-Queries/ └── Screenshots/ ``` # 检测能力 当前的能力包括: - 网络连接监控 - DNS 活动分析 - HTTP 流量监控 - SSL/TLS 可见性 - 入侵检测 - 安全事件收集 - 网络元数据分析 计划实现的能力包括: - 端口扫描检测 - DNS 隧道检测 - Beacon 检测 - 可疑 HTTP 活动检测 - 数据渗出检测 - 横向移动检测 # MITRE ATT&CK 映射 | MITRE 技术 | 检测来源 | |-----------------|------------------| | T1046 - 网络服务扫描 | Zeek + Suricata | | T1071 - 应用层协议 | Zeek | | T1071.004 - DNS | Zeek DNS 日志 | | T1021 - 远程服务 | Zeek | | T1049 - 系统网络连接 | 未来集成 | | T1059 - 命令和脚本解释器 | 未来集成 | # 学习成果 本项目展示了以下方面的实用知识: - 安全运营中心(SOC) - 网络安全监控 - SIEM 工程 - Linux 管理 - 检测工程 - 威胁狩猎 - 安全监控 - 网络流量分析 - 入侵检测 - 日志分析 # 当前进度 - ✅ Ubuntu Linux 环境 - ✅ Splunk Enterprise 部署 - ✅ Zeek 部署 - ✅ Suricata 部署 - ✅ Zeek 日志集成 - ✅ Suricata 日志集成 - ✅ 实时日志收集 - ⏳ 企业仪表板 - ⏳ 检测规则 - ⏳ SPL 查询 - ⏳ 文档 - ⏳ 威胁狩猎场景 # 截图 随着项目的推进,将添加有关仪表板、检测、网络分析和监控工作流的截图。 # 未来增强计划 - Windows 端点监控 - Sysmon 集成 - Splunk Universal Forwarder - Atomic Red Team - Sigma 规则 - Wazuh 集成 - SOAR 集成 - 事件响应 Playbook - 高级威胁狩猎 - 检测自动化 # 作者 **GitHub:** @zamansec # 许可证 本项目基于 MIT 许可证授权。
标签:Metaprompt, SOC运营, 管理员页面发现, 网络安全, 网络安全研究, 防御绕过, 隐私保护