samirzoidac55/SOC-Detection-Pipeline
GitHub: samirzoidac55/SOC-Detection-Pipeline
一个基于 Snort IDS 与 Wazuh SIEM 的自托管 SOC 检测管线,将攻击流量映射到 MITRE ATT&CK 框架并实现自动化邮件/PDF 事件告警。
Stars: 0 | Forks: 0
# SOC 检测 Pipeline
一个自托管的 SOC 检测 Pipeline,使用 Snort IDS + Wazuh SIEM 将真实攻击流量映射到 MITRE ATT&CK,并提供自动化的邮件/PDF 事件告警。
## 技术栈
## 架构概述
该实验环境由运行在 VirtualBox Host-Only 网络(`192.168.56.x`)上的三台虚拟机组成:
- **SOC Server (192.168.56.101):** 运行 Snort IDS、Wazuh Manager 和 Postfix 用于告警转发。
- **Kali Attacker (192.168.56.102):** 用于生成受控的攻击流量。
- **Victim (192.168.56.103):** 一台运行 Wazuh Agent 的 Ubuntu 机器。
## 工作原理
1. 从 Kali 机器生成攻击流量。
2. Snort IDS 根据自定义规则检测流量,并将告警写入 `alert_fast.txt`。
3. Wazuh Manager 通过 `snort3-alert-fast` 解码告警。
4. 告警匹配基础规则 `100100`,子规则会附加相关的 MITRE ATT&CK 标签。
5. 如果告警级别 >= 12,Postfix 将触发一封包含 PDF 事件报告的邮件。
## MITRE ATT&CK 覆盖范围
| 规则 ID | Snort SID | 检测内容 | MITRE 技术 | 战术 | 状态 |
| :--- | :--- | :--- | :--- | :--- | :--- |
| 100101 | 1000001 | ICMP Ping | T1046 | Discovery | 已验证 |
| 100102 | 1000003 | TCP Scan | T1046 | Discovery | 已验证 |
| 100103 | 1000002 | SSH Connection Attempt | T1021.004 | Lateral Movement | 已验证 |
| 100105 | N/A | SSH Brute Force | T1110 | Credential Access | 已验证 |
## 设置说明
### 1. 环境准备
- 安装 VirtualBox。
- 在 Host-Only 适配器上创建三台虚拟机(SOC Server、Kali、Victim)。
- 配置静态 IP 地址(例如,`192.168.56.x/24`)。
### 2. SOC Server 安装
- **Snort IDS:** 安装 Snort 3 并配置接口监控。
- **Wazuh Manager:** 安装并配置 Manager 以接收告警。
- **Postfix:** 配置 SMTP 用于自动化告警转发。
### 3. Agent 与规则配置
- **Wazuh Agent:** 在 Victim 机器上安装并连接到 Manager。
- **Snort Rules:** 将自定义规则复制到 `/usr/local/etc/snort/rules/local.rules`。
- **Wazuh Rules:** 将自定义解码器和规则添加到 `/var/ossec/etc/rules/local_rules.xml`。
### 4. 验证
- 使用 Kali 机器生成流量,并确认告警出现在 Wazuh dashboard 和邮件通知中。
## 已知问题 / 经验教训
- 剔除了 Snort 内置 inspector 产生的 `arp_spoof` 和 `port_scan` 误报,以减少噪音。
- 发现并记录了影响基于内容的规则匹配的数据包截断警告("IPv4 datagram length > captured length")。
## 路线图 / 后续工作(尚未构建)
- 用于持久化/防御规避检测的 Wazuh File Integrity Monitoring (T1053, T1098, T1070)
- 用于事件案例管理的 TheHive + Cortex
- Azure 云迁移
## 项目截图
### 网络架构

### 攻击模拟



### 检测与日志


### 事件告警 (SMTP/PDF)


标签:Wazuh, 安全测试环境, 安全运营中心, 插件系统, 网络映射, 自动化响应