Uniao-Geek/SOC-Detection-Lab

# SOC 检测实验室 [](LICENSE) [](https://github.com/Uniao-Geek/SOC-Detection-Lab/graphs/commit-activity) [](https://github.com/Uniao-Geek/SOC-Detection-Lab/commits/main) [](https://github.com/Uniao-Geek/SOC-Detection-Lab/issues) **Portuguese (pt-BR):** [README.pt-BR.md](README.pt-BR.md) · [CONTRIBUTING.md](CONTRIBUTING.md) · [CODE_OF_CONDUCT.md](CODE_OF_CONDUCT.md) ## 🎯 概述 **SOC 检测实验室** 是一个全面、现代化的网络安全实验室环境，专为以下用途设计： - **🔍 威胁检测** - 高级日志分析和安全事件监控 - **🎯 威胁狩猎** - 主动网络安全威胁调查 - **⚔️ 对手模拟** - 用于检测测试的攻击模拟 - **🎓 SOC 培训** - 安全运营中心分析师培训 - **🔴 红队演练** - 红队和紫队演练 ## 🏢 组织 **Uniao-Geek** - 网络安全研究与开发 ## 🏗️ 实验室架构 ### 🖥️ 虚拟机 | VM | 操作系统 | IP 地址 | 主要功能 | |---|---|---|---| | **logger** | Ubuntu 22.04 LTS | 192.168.56.105 | SIEM，集中式日志记录，分析 | | **dc** | Windows Server 2016 | 192.168.56.102 | 域控制器，Active Directory | | **wef** | Windows Server 2016 | 192.168.56.103 | Windows Event Forwarder | | **win10** | Windows 10 | 192.168.56.104 | 测试工作站 | ### 🛠️ 已安装工具 #### Logger VM (Ubuntu 22.04) - 分析中心 - **🔍 Splunk Enterprise** - 主要 SIEM 和日志分析 - **🌐 Zeek (Bro)** - 高级网络流量分析 - **🛡️ Suricata** - 入侵检测系统 (IDS/IPS) - **📊 Fleet (osquery)** - 端点监控 - **🔬 Velociraptor** - 数字取证和事件响应 - **🖥️ Apache Guacamole** - 远程桌面网关 - **🔗 OpenVSwitch** - 高级虚拟交换 #### Windows VMs - 生产环境 - **📝 Windows Event Logging** - 系统和应用程序日志 - **👁️ Sysmon** - 高级进程监控 - **📡 osquery** - 端点遥测 - **🔬 Velociraptor Client** - 取证客户端 - **⚔️ Red Team Tools** - 测试和模拟工具 ## 🚀 快速入门 ### 📋 前置条件 - **VirtualBox 7.2.0+**（推荐）或 VMware Workstation - **Vagrant 2.3+** - **8GB+ RAM**（推荐 16GB） - **50GB+ 磁盘空间** - **Windows 10/11** 或 **Linux** 作为主机系统 ### ⚡ 快速安装 1. **克隆仓库：** git clone https://github.com/Uniao-Geek/SOC-Detection-Lab.git cd SOC-Detection-Lab/Vagrant 2. **运行全新重建脚本：** chmod +x rebuild-logger.sh ./rebuild-logger.sh 3. **等待安装完成**（30-60 分钟） 4. **访问 Splunk：** - **URL：** https://192.168.56.105:8000 - **用户名：** admin - **密码：** changeme ### ⚙️ 自动配置 系统会自动配置以下内容： - ✅ **GRUB timeout**：5 秒（快速启动） - ✅ **主机名**：logger - ✅ **静态 IP**：192.168.56.105 - ✅ **DNS**：8.8.8.8, 8.8.4.4, 192.168.56.102 - ✅ **时区**：UTC - ✅ **网络**：优化的实验室配置 ## 🔧 脚本与工具 ### 📜 配置脚本 - `scripts/initial-system-config.sh` - 初始系统配置 - `scripts/configure-grub.sh` - GRUB 引导程序配置 - `rebuild-logger.sh` - 全新重建 logger VM ### 🚀 引导脚本 - `logger_bootstrap_enhanced.sh` - 完整的 logger VM 安装 **可用模式：** - `main` - 完整安装（默认） - `splunk_only` - 仅 Splunk Enterprise - `zeek_only` - 仅 Zeek Network Monitor - `suricata_only` - 仅 Suricata IDS - `fleet_only` - 仅 Fleet osquery - `guacamole_only` - 仅 Apache Guacamole - `velociraptor_only` - 仅 Velociraptor - `fix_network_only` - 仅修复网络 ## 🌐 访问与 URL ### 🔗 主要 URL | 服务 | URL | 凭据 | |---|---|---| | **Splunk Web** | https://192.168.56.105:8000 | admin/changeme | | **Splunk Management API** | https://192.168.56.105:8089 | admin/changeme | | **Fleet osquery** | https://192.168.56.105:8412 | admin@detectionlab.network/Fl33tpassword! | | **Apache Guacamole** | http://192.168.56.105:8080/guacamole | vagrant/vagrant | ### 🔌 转发端口 | 主机端口 | 客户机端口 | 服务 | |---|---|---| | 5625 | 22 | SSH Logger | | 8000 | 8000 | Splunk Web UI | | 8089 | 8089 | Splunk Management API | ## 📊 监控与日志 ### 📝 重要日志 - `/var/log/logger_provision_report.log` - 完整的配置报告 - `/var/log/soc-detection-lab-initial-config.log` - 初始系统配置 - `/opt/splunk/var/log/splunk/` - Splunk Enterprise 日志 - `/opt/zeek/logs/` - Zeek Network Monitor 日志 - `/var/log/suricata/` - Suricata IDS 日志 ### 💻 实用命令 ``` # 主服务状态 systemctl status splunkd zeek suricata fleet # 检查 VM 之间的连通性 ping -c 1 192.168.56.102 # DC ping -c 1 192.168.56.103 # WEF ping -c 1 192.168.56.104 # Win10 # 检查系统配置 hostname ip addr show eth1 grep GRUB_TIMEOUT /etc/default/grub # 实时监控日志 tail -f /var/log/logger_provision_report.log journalctl -f ``` ## 🛠️ 故障排除 ### ❗ 常见问题 1. **VM 无法启动：** - 检查 VirtualBox 是否正常工作 - 运行 `vagrant destroy -f` 并再次执行 `vagrant up` - 检查 VirtualBox 日志 2. **网络问题：** - 检查网络上的 IP 192.168.56.105 是否空闲 - 运行 `./rebuild-logger.sh` 进行全新重建 - 检查防火墙设置 3. **Splunk 无法访问：** - 完全启动后等待 5-10 分钟 - 检查日志：`journalctl -u splunkd` - 检查服务是否正在运行：`systemctl status splunkd` 4. **GRUB timeout：** - 手动运行 `scripts/configure-grub.sh` - 检查配置：`cat /etc/default/grub` ### 🔍 调试日志 ``` # Vagrant 实时日志 vagrant ssh logger -c "tail -f /var/log/logger_provision_report.log" # 系统日志 journalctl -f # 所有服务状态 systemctl list-units --failed # 检查磁盘空间 df -h # 检查内存使用情况 free -h ``` ## 🚀 部署平台 ### 本地开发 - **Vagrant** 配合 VirtualBox/VMware - **快速设置**，用于测试和开发 ### 云平台 - **AWS** - 使用 Terraform 部署 - **Azure** - Terraform + Ansible - **ESXi** - Terraform + Ansible - **Proxmox** - Terraform + Ansible ### 企业 - **HyperV** - Windows Server 环境 - **自定义** - 用于自定义构建的 Packer 模板 ## 免责声明 / 法律通知 - **使用** — 内容用于教育、研究和**经明确授权的**测试。请勿在未获得相关负责人正式许可的情况下用于系统、网络或数据；请遵守适用的法律和政策。 - **无担保** — 按**“原样”（AS IS）**提供。不提供任何类型的担保（明示或暗示），包括适销性、特定用途适用性或不侵权。 - **责任限制** — 在适用法律允许的最大范围内，作者对直接或间接损害、损失、滥用、第三方索赔或第三方产品条款违规**不负责任**。**使用风险自负。** - **归属和社区** — 请保留原始项目的版权声明和致谢（包括 [DetectionLab](https://github.com/clong/DetectionLab) 和其他上游项目）。欢迎通过 **pull requests**、改进和 **issues** 进行贡献。 - **许可证** — 请参阅仓库根目录下的 `LICENSE` 文件以获取完整条款（MIT）。 ## 📄 许可证 本项目基于 **MIT License** 授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 📞 支持与联系 如需支持和提问： - **🐛 Issues**: [GitHub Issues](https://github.com/Uniao-Geek/SOC-Detection-Lab/issues) - **💬 讨论区**: [GitHub Discussions](https://github.com/Uniao-Geek/SOC-Detection-Lab/discussions) - **📚 Wiki**: [完整文档](https://github.com/Uniao-Geek/SOC-Detection-Lab/wiki) **SOC 检测实验室** - 构建网络安全威胁检测的未来 🛡️ *由 Uniao-Geek 用 ❤️ 开发*

标签：Active Directory, AMSI绕过, Bro, BurpSuite集成, CSV导出, Cutter, Detection Lab, DNS 反向解析, DNS 解析, HTTP/HTTPS抓包, HTTP工具, IP 地址批量处理, Metaprompt, PE 加载器, Plaso, Rootkit, SOC实验室, Suricata, Web报告查看器, Windows Server, Zeek, 内核模式, 后渗透, 后端开发, 域环境安全, 威胁检测, 安全培训, 安全工具集合, 安全运营中心, 实验室环境, 对手模拟, 态势感知, 攻击模拟, 无线安全, 现代安全运营, 私有化部署, 系统提示词, 紫队, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 网络流量分析, 蜜罐, 证书利用, 速率限制, 防御规避, 隐私保护, 驱动签名利用