samirzoidac55/SOC-Detection-Pipeline

GitHub: samirzoidac55/SOC-Detection-Pipeline

一个基于 Snort IDS 与 Wazuh SIEM 的自托管 SOC 检测管线,将攻击流量映射到 MITRE ATT&CK 框架并实现自动化邮件/PDF 事件告警。

Stars: 0 | Forks: 0

# SOC 检测 Pipeline 一个自托管的 SOC 检测 Pipeline,使用 Snort IDS + Wazuh SIEM 将真实攻击流量映射到 MITRE ATT&CK,并提供自动化的邮件/PDF 事件告警。 ## 技术栈 ## 架构概述 该实验环境由运行在 VirtualBox Host-Only 网络(`192.168.56.x`)上的三台虚拟机组成: - **SOC Server (192.168.56.101):** 运行 Snort IDS、Wazuh Manager 和 Postfix 用于告警转发。 - **Kali Attacker (192.168.56.102):** 用于生成受控的攻击流量。 - **Victim (192.168.56.103):** 一台运行 Wazuh Agent 的 Ubuntu 机器。 ## 工作原理 1. 从 Kali 机器生成攻击流量。 2. Snort IDS 根据自定义规则检测流量,并将告警写入 `alert_fast.txt`。 3. Wazuh Manager 通过 `snort3-alert-fast` 解码告警。 4. 告警匹配基础规则 `100100`,子规则会附加相关的 MITRE ATT&CK 标签。 5. 如果告警级别 >= 12,Postfix 将触发一封包含 PDF 事件报告的邮件。 ## MITRE ATT&CK 覆盖范围 | 规则 ID | Snort SID | 检测内容 | MITRE 技术 | 战术 | 状态 | | :--- | :--- | :--- | :--- | :--- | :--- | | 100101 | 1000001 | ICMP Ping | T1046 | Discovery | 已验证 | | 100102 | 1000003 | TCP Scan | T1046 | Discovery | 已验证 | | 100103 | 1000002 | SSH Connection Attempt | T1021.004 | Lateral Movement | 已验证 | | 100105 | N/A | SSH Brute Force | T1110 | Credential Access | 已验证 | ## 设置说明 ### 1. 环境准备 - 安装 VirtualBox。 - 在 Host-Only 适配器上创建三台虚拟机(SOC Server、Kali、Victim)。 - 配置静态 IP 地址(例如,`192.168.56.x/24`)。 ### 2. SOC Server 安装 - **Snort IDS:** 安装 Snort 3 并配置接口监控。 - **Wazuh Manager:** 安装并配置 Manager 以接收告警。 - **Postfix:** 配置 SMTP 用于自动化告警转发。 ### 3. Agent 与规则配置 - **Wazuh Agent:** 在 Victim 机器上安装并连接到 Manager。 - **Snort Rules:** 将自定义规则复制到 `/usr/local/etc/snort/rules/local.rules`。 - **Wazuh Rules:** 将自定义解码器和规则添加到 `/var/ossec/etc/rules/local_rules.xml`。 ### 4. 验证 - 使用 Kali 机器生成流量,并确认告警出现在 Wazuh dashboard 和邮件通知中。 ## 已知问题 / 经验教训 - 剔除了 Snort 内置 inspector 产生的 `arp_spoof` 和 `port_scan` 误报,以减少噪音。 - 发现并记录了影响基于内容的规则匹配的数据包截断警告("IPv4 datagram length > captured length")。 ## 路线图 / 后续工作(尚未构建) - 用于持久化/防御规避检测的 Wazuh File Integrity Monitoring (T1053, T1098, T1070) - 用于事件案例管理的 TheHive + Cortex - Azure 云迁移 ## 项目截图 ### 网络架构 ![网络架构](https://static.pigsec.cn/wp-content/uploads/repos/cas/99/99dce349a4e37d4caa1fd17a2949ca7f4d6775d032bfc0225b07ce85f1b01265.png) ### 攻击模拟 ![ICMP 攻击](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/01_icmp_attack.png) ![TCP Scan 攻击](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/02_tcp_scan_attack.png) ![SSH 攻击](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/03_ssh_attack.png) ### 检测与日志 ![Snort 日志](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/04_snort_logs.png) ![Wazuh 告警](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/05_wazuh_alerts.png) ### 事件告警 (SMTP/PDF) ![邮件告警](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/06_email_alert.png) ![PDF 报告](https://raw.githubusercontent.com/samirzoidac55/SOC-Detection-Pipeline/main/screenshots/07_pdf_report.png)
标签:Wazuh, 安全测试环境, 安全运营中心, 插件系统, 网络映射, 自动化响应