UnknownPERSON06660/SOC-Lab-Malware-Incident-Response

GitHub: UnknownPERSON06660/SOC-Lab-Malware-Incident-Response

该项目在隔离实验室中使用 pfSense、Suricata IDS 和 Wazuh SIEM 演示恶意软件检测与基于 NIST 框架的完整事件响应流程。

Stars: 0 | Forks: 0

# 使用 pfSense、Suricata IDS 和 Wazuh SIEM 的恶意软件检测与事件响应实验室 ## 概述 本项目演示了在虚拟安全运营中心 (SOC) 实验室中检测、分析和响应恶意软件事件的完整生命周期。 该实验室旨在模拟一个小型企业网络,受 pfSense Firewall 保护,由 Suricata 入侵检测系统 (IDS) 监控,并使用 Wazuh 安全信息与事件管理 (SIEM) 平台进行集中监控。 在隔离环境中,一台 Windows 10 虚拟机被故意感染了从 theZoo 恶意软件仓库获取的 Zeus Banking Trojan 样本。通过收集网络活动、端点事件和防火墙日志,对事件进行调查,并按照 NIST SP 800-61 事件响应生命周期执行完整的事件响应流程。 # 目标 - 使用开源技术构建功能完善的 SOC 实验室。 - 使用 Suricata IDS 检测恶意软件。 - 使用 Wazuh SIEM 监控端点活动。 - 关联网络和端点事件。 - 执行完整的事件响应流程。 - 收集失陷标据 (IOC)。 - 识别攻击标据 (IOA)。 - 编写专业的技术文档和事件响应报告。 # 实验室架构 该实验室由以下虚拟机组成: | 机器 | 用途 | |----------|---------| | pfSense | 防火墙与网络网关 | | Suricata | 网络入侵检测系统 | | Wazuh Manager | 安全信息与事件管理 | | Kali Linux | SOC 分析师工作站 | | Windows 10 | 受害端点 | ### 网络拓扑 # 使用的技术 - Oracle VirtualBox - pfSense Community Edition - Suricata IDS - Wazuh SIEM - Windows 10 - Kali Linux - NIST SP 800-61 Incident Response 框架 - Emerging Threats Open 规则 - SHA256 哈希验证 # 恶意软件样本 | 项目 | 值 | |------|-------| | 恶意软件家族 | Zeus Banking Trojan | | 来源 | theZoo 恶意软件仓库 | | 验证 | SHA256 哈希 | 该恶意软件样本仅在隔离的实验室环境中执行,用于教育和防御性安全目的。 # 检测工作流 1. 恶意软件下载至 Windows 端点。 2. 验证 SHA256 哈希。 3. 执行恶意软件。 4. Suricata 检测到可疑网络活动。 5. Wazuh 收集端点事件。 6. 关联安全事件。 7. 确认安全事件。 8. 启动事件响应。 # 事件响应生命周期 该事件的处理使用了 **NIST SP 800-61 Revision 2** 框架。 ### 检测与分析 - Suricata 生成了高优先级的入侵警报。 - Wazuh 收集了端点遥测数据。 - 识别了 IOC 和 IOA。 - 分析了恶意软件行为。 ### 遏制 - 使用 pfSense 防火墙隔离受感染端点。 - 阻断出站通信。 - 保留防火墙日志用于取证分析。 ### 根除 - 移除恶意可执行文件。 - 删除恶意软件存档。 - 验证系统是否已清除恶意产物。 ### 恢复 - 解除防火墙隔离。 - 恢复网络连接。 - 监控环境是否存在其他恶意活动。 ### 经验教训 - 纵深防御的重要性。 - 网络监控与端点监控相辅相成。 - 在修复前应始终保留证据。 - 遵循结构化的事件响应方法论可提升调查质量。 # 失陷标据 (IOC) 调查期间收集的示例包括: - 恶意软件文件名 - SHA256 哈希 - 受害者 IP 地址 - Suricata 警报 - Wazuh 事件 # 攻击标据 (IOA) 观察到的恶意行为包括: - 恶意软件执行 - 可疑的出站通信 - IDS 特征检测 - 端点活动关联 - 端点隔离 # 项目结构 ``` Documentation/ Incident Response Report/ IOC_IOA/ Hashes/ Network Topology/ Screenshots/ README.md LICENSE ``` # 仓库内容 - 技术文档 - 事件响应报告 - 网络拓扑 - 调查截图 - IOC 和 IOA 分析 - 恶意软件哈希验证 # 展示的技能 - SOC 运营 - 事件响应 - 恶意软件分析 - 网络安全 - 防火墙配置 - 入侵检测 - SIEM 监控 - 日志分析 - 威胁狩猎 - IOC 分析 - IOA 分析 - Windows 端点监控 - Linux 管理 # 未来改进 - 将 Suricata 配置为 IPS 模式。 - 集成 VirusTotal 查询。 - 添加 Sigma 规则检测。 - 实现 YARA 扫描。 - 使用 Wazuh Active Response 自动化事件响应。 - 集成 MISP 用于威胁情报。 # 参考资料 - NIST SP 800-61 Revision 2 – Computer Security Incident Handling Guide - Wazuh 文档 - Suricata 文档 - pfSense 文档 - Emerging Threats Open 规则 - theZoo 恶意软件仓库 # 免责声明 本项目完全在隔离的虚拟实验室内进行,仅用于教育和防御性网络安全目的。未对公共系统或生产环境执行任何恶意活动。执行该恶意软件样本 solely 目的仅是为了理解检测、监控和事件响应技术。
标签:BurpSuite集成, CIDR输入, DAST, IP 地址批量处理, Suricata, Wazuh, 安全运营中心(SOC), 库, 应急响应, 恶意软件分析, 现代安全运营, 自定义DNS解析器