WiLL75G/detection-engineering-labs
GitHub: WiLL75G/detection-engineering-labs
一个以家庭实验室为基础的检测工程与 SOC 分析实操项目,通过运行真实攻击并记录映射到 MITRE ATT&CK 的事件报告来展示端到端的检测与调查流程。
Stars: 3 | Forks: 0
# 检测工程实验室
实操检测工程和 SOC 分析实验室。每个实验都会在一个独立完整的家庭实验室中运行真实的攻击,进行检测、调查,并将其全过程记录为一份映射到 MITRE ATT&CK 的一级(Tier 1)事件报告。核心原则是用证据说话:每一项发现都有来自实验室的截图作为支撑。
## 实验
| 实验 | 重点 | 平台 | MITRE | 状态 |
| --- | --- | --- | --- | --- |
| [01 Wazuh SSH 暴力破解](01-wazuh-ssh-bruteforce/) | 检测从暴力破解到确认被攻陷的整个过程 | Wazuh 4.14.6 | T1110 | 已完成 |
| 02 ServiceNow ITSM 事件生命周期 | 通过 SLA 跟踪,处理从“新建”到“关闭”的安全事件 | ServiceNow | 计划中 | 计划中 |
| 03 Suricata IDS | 编写和调优网络入侵检测规则 | Suricata | 计划中 | 计划中 |
| 04 PowerShell 调查 | 利用进程遥测数据调查可疑的 PowerShell | Windows, Sysmon | 计划中 | 计划中 |
## 每个实验展示的内容
**01 Wazuh SSH 暴力破解。** 一台 Kali 攻击机针对由 Wazuh 监控的 Ubuntu 主机上的 SSH 运行 Hydra。检测链条从单次登录失败开始,经过频率关联,最终触发确认失败到成功攻陷的 12 级告警,随后追踪溯源至攻击者源 IP,并映射到 MITRE T1110。
## 家庭实验室
一个独立完整的环境:包含一台 macOS 主机、一台 Ubuntu Server 靶机、一台 Windows 11 终端和一台 Kali Linux 攻击机,并在其中部署了检测与响应工具。每个实验文件夹都包含各自的 README 和一个用于存放支撑证据的截图目录。
## 关于
由 William Gokah 构建并记录,在检测工程和 SOC 分析领域进行公开学习。检测与响应被视为同一项工作的两个部分:发现攻击并执行响应。所有声明均真实反映了在实验室中实际演示的内容。
标签:Metaprompt, 安全运营, 安全运营中心, 实验室, 库, 应急响应, 扫描框架, 红队行动, 网络映射