perrfred/internet-honeypot-soc-lab
GitHub: perrfred/internet-honeypot-soc-lab
一个基于云上 Windows 蜜罐与 Wazuh SIEM 的安全运营实验室,用于模拟真实威胁狩猎、事件响应与检测工程的全流程实践。
Stars: 0 | Forks: 0
# 互联网蜜罐 SOC 实验室
一个展示使用 **Wazuh SIEM** 设计、部署、监控和调查真实互联网暴露 Windows 蜜罐的作品集项目。
该实验室旨在通过收集和调查来自公共互联网的真实攻击流量,模拟 Tier 1 / Tier 2 安全运营中心 (SOC) 分析师的日常职责。
# 项目目标
- 部署一台暴露在互联网上的 Windows Server 2022 蜜罐
- 使用 Wazuh 配置集中式安全监控
- 使用 Microsoft Sysmon 收集增强的端点遥测数据
- 调查真实的攻击活动
- 执行结构化的威胁狩猎
- 开发和验证自定义 Wazuh 检测规则
- 生成专业的事件响应文档
# 架构
该实验室包含以下组件:
- 面向互联网的 Windows Server 2022 蜜罐
- 托管 Wazuh Manager 的 Ubuntu Server
- Microsoft Sysmon
- Wazuh Agent
- Wazuh SIEM
- OpenSearch Indexer
- Wazuh Dashboard
- Vultr 云基础设施
完整的架构图和部署详情请参见:
```
architecture/lab-architecture.md
```
# 项目亮点
在本项目中,我成功地:
- 在云端部署了一台公网 Windows 蜜罐
- 收集了超过 **248,000** 条 Windows 安全事件
- 调查了一场真实的全球范围 RDP 暴力破解活动
- 执行了多次威胁狩猎调查
- 创建了自定义 Wazuh 检测规则(规则 100100)
- 调查并记录了一个严重级别的误报告警
- 生成了专业的事件响应文档
- 使用 Git 和 GitHub 管理该项目
# 威胁狩猎活动
已完成的调查包括:
- 全球范围 RDP 暴力破解活动
- 攻击者 IP 信誉分析
- 攻击的地理分布
- 用户名枚举分析
- 成功的身份验证验证
- 持久化狩猎
- 严重级别告警调查
- MITRE ATT&CK 映射
# 检测工程
开发了一条自定义 Wazuh 检测规则,以提高针对高权限 Windows 账户的暴力破解攻击的可见性。
### 自定义规则
- 规则 ID:**100100**
### 功能
- 扩展了内置规则 60122
- 检测针对 **Administrator** 账户的失败身份验证尝试
- 针对高权限账户的攻击生成更高优先级的告警
- 使用实时 Windows Event ID 4625 遥测数据成功进行了验证
# 事件响应
在项目期间执行了两次完整的事件调查。
### IR-001
**自动化 RDP 凭据喷射**
包含内容:
- IOC 分析
- 威胁情报富化
- MITRE ATT&CK 映射
- 威胁狩猎
- 攻击者地理画像
- 影响评估
### IR-002
**严重 Sysmon 告警调查**
包含内容:
- 误报分析
- 父进程调查
- Windows 维护验证
- 检测调优建议
# 使用的技术
| 类别 | 技术 |
|----------|--------------|
| 操作系统 | Windows Server 2022, Ubuntu Server |
| SIEM | Wazuh |
| 端点遥测 | Microsoft Sysmon |
| 云平台 | Vultr |
| 虚拟化 | VMware Workstation Pro |
| 威胁情报 | AbuseIPDB |
| 框架 | MITRE ATT&CK |
| 版本控制 | Git & GitHub |
# 展示的技能
- 安全监控
- SIEM 管理
- 威胁狩猎
- 事件响应
- 检测工程
- Windows 事件日志分析
- Microsoft Sysmon
- Wazuh 规则开发
- IOC 调查
- 威胁情报富化
- MITRE ATT&CK 映射
- 安全文档
- Git 版本控制
# 仓库结构
```
internet-honeypot-soc-lab/
│
├── architecture/
├── detection-rules/
├── docs/
├── incident-reports/
├── queries/
├── screenshots/
├── .gitignore
└── README.md
```
# 未来改进
未来可能的增强功能包括:
- 额外的 Windows 攻击模拟
- Linux 蜜罐部署
- Sigma 规则开发
- YARA 集成
- 自动化告警
- SOAR playbook
- MITRE ATT&CK Navigator 映射
# 项目状态
**已完成**
该项目演示了使用现代 SIEM 平台构建、监控、调查和记录面向互联网的 Windows 蜜罐的完整生命周期。
**作者**
**Fred Perron**
网络安全 | 安全运营 | 检测工程 | 威胁狩猎
标签:Wazuh, 安全运营, 库, 应急响应, 底层分析, 扫描框架, 网络安全研究, 蜜罐, 证书利用