perrfred/internet-honeypot-soc-lab

GitHub: perrfred/internet-honeypot-soc-lab

一个基于云上 Windows 蜜罐与 Wazuh SIEM 的安全运营实验室,用于模拟真实威胁狩猎、事件响应与检测工程的全流程实践。

Stars: 0 | Forks: 0

# 互联网蜜罐 SOC 实验室 一个展示使用 **Wazuh SIEM** 设计、部署、监控和调查真实互联网暴露 Windows 蜜罐的作品集项目。 该实验室旨在通过收集和调查来自公共互联网的真实攻击流量,模拟 Tier 1 / Tier 2 安全运营中心 (SOC) 分析师的日常职责。 # 项目目标 - 部署一台暴露在互联网上的 Windows Server 2022 蜜罐 - 使用 Wazuh 配置集中式安全监控 - 使用 Microsoft Sysmon 收集增强的端点遥测数据 - 调查真实的攻击活动 - 执行结构化的威胁狩猎 - 开发和验证自定义 Wazuh 检测规则 - 生成专业的事件响应文档 # 架构 该实验室包含以下组件: - 面向互联网的 Windows Server 2022 蜜罐 - 托管 Wazuh Manager 的 Ubuntu Server - Microsoft Sysmon - Wazuh Agent - Wazuh SIEM - OpenSearch Indexer - Wazuh Dashboard - Vultr 云基础设施 完整的架构图和部署详情请参见: ``` architecture/lab-architecture.md ``` # 项目亮点 在本项目中,我成功地: - 在云端部署了一台公网 Windows 蜜罐 - 收集了超过 **248,000** 条 Windows 安全事件 - 调查了一场真实的全球范围 RDP 暴力破解活动 - 执行了多次威胁狩猎调查 - 创建了自定义 Wazuh 检测规则(规则 100100) - 调查并记录了一个严重级别的误报告警 - 生成了专业的事件响应文档 - 使用 Git 和 GitHub 管理该项目 # 威胁狩猎活动 已完成的调查包括: - 全球范围 RDP 暴力破解活动 - 攻击者 IP 信誉分析 - 攻击的地理分布 - 用户名枚举分析 - 成功的身份验证验证 - 持久化狩猎 - 严重级别告警调查 - MITRE ATT&CK 映射 # 检测工程 开发了一条自定义 Wazuh 检测规则,以提高针对高权限 Windows 账户的暴力破解攻击的可见性。 ### 自定义规则 - 规则 ID:**100100** ### 功能 - 扩展了内置规则 60122 - 检测针对 **Administrator** 账户的失败身份验证尝试 - 针对高权限账户的攻击生成更高优先级的告警 - 使用实时 Windows Event ID 4625 遥测数据成功进行了验证 # 事件响应 在项目期间执行了两次完整的事件调查。 ### IR-001 **自动化 RDP 凭据喷射** 包含内容: - IOC 分析 - 威胁情报富化 - MITRE ATT&CK 映射 - 威胁狩猎 - 攻击者地理画像 - 影响评估 ### IR-002 **严重 Sysmon 告警调查** 包含内容: - 误报分析 - 父进程调查 - Windows 维护验证 - 检测调优建议 # 使用的技术 | 类别 | 技术 | |----------|--------------| | 操作系统 | Windows Server 2022, Ubuntu Server | | SIEM | Wazuh | | 端点遥测 | Microsoft Sysmon | | 云平台 | Vultr | | 虚拟化 | VMware Workstation Pro | | 威胁情报 | AbuseIPDB | | 框架 | MITRE ATT&CK | | 版本控制 | Git & GitHub | # 展示的技能 - 安全监控 - SIEM 管理 - 威胁狩猎 - 事件响应 - 检测工程 - Windows 事件日志分析 - Microsoft Sysmon - Wazuh 规则开发 - IOC 调查 - 威胁情报富化 - MITRE ATT&CK 映射 - 安全文档 - Git 版本控制 # 仓库结构 ``` internet-honeypot-soc-lab/ │ ├── architecture/ ├── detection-rules/ ├── docs/ ├── incident-reports/ ├── queries/ ├── screenshots/ ├── .gitignore └── README.md ``` # 未来改进 未来可能的增强功能包括: - 额外的 Windows 攻击模拟 - Linux 蜜罐部署 - Sigma 规则开发 - YARA 集成 - 自动化告警 - SOAR playbook - MITRE ATT&CK Navigator 映射 # 项目状态 **已完成** 该项目演示了使用现代 SIEM 平台构建、监控、调查和记录面向互联网的 Windows 蜜罐的完整生命周期。 **作者** **Fred Perron** 网络安全 | 安全运营 | 检测工程 | 威胁狩猎
标签:Wazuh, 安全运营, 库, 应急响应, 底层分析, 扫描框架, 网络安全研究, 蜜罐, 证书利用