Samyukta-14/soc-home-lab

# SOC 家庭实验室 一个使用 Wazuh SIEM/XDR 构建的安全运营中心 家庭实验室，用于学习威胁检测、日志分析和事件响应。 ## 概述 本项目模拟了一个企业安全监控环境，包含： - 定义正常活动的文档化基线 - 针对基线违规的自定义检测规则 - 映射到 MITRE ATT&CK 的检测 - 真实攻击模拟和分诊工作流 ### 场景 一个小型企业环境，包含： - **Windows 工作站** - 业务分析师 (`jsmith`) 使用 Excel、浏览器、电子邮件、Power BI - **Linux SSH 堡垒机** - 用于管理员访问的安全网关（仅限 `admin` 用户） - **Wazuh SIEM** - 集中监控和检测 ## 架构

| 系统 | 角色 | |--------|------| | Wazuh Stack | SIEM (Docker Compose) | | Windows 10/11 | 员工工作站 | | Kali Linux | SSH 堡垒机 | ## 检测覆盖范围 ### 自定义规则摘要 | 规则 ID | 目标 | 检测项 | MITRE ATT&CK | |---------|--------|-----------|--------------| | 100002 | 堡垒机 | 工作时间（上午 8 点 - 下午 5 点）之外的 SSH 登录 | T1078.003, T1021.004 | | 100003 | 堡垒机 | 使用旧版 `kali` 账户登录 | T1078.003 | | 100004 | 堡垒机 | 来自 Windows 工作站的 SSH（横向移动） | T1021.004, T1078.003 | | 100005 | Windows | 执行 SSH 客户端 | T1021.004 | | 100006 | 堡垒机 | 创建新用户账户 | T1136.001 | | 100007 | 堡垒机 | 安装新服务 | T1543.002 | | 100011 | Windows | 工作时间之外的登录 | T1078.003 | | 100012 | Windows | 使用管理员账户 | T1078.003 | | 100013 | Windows | 执行 PowerShell（排除 Wazuh agent） | T1059.001 | | 100014 | Windows | 从 Office 应用程序生成的 cmd.exe | T1059.003 | | 100015 | Windows | 创建新用户账户 | T1136.001 | ### MITRE ATT&CK 映射 | 战术 | 技术 | ID | 检测规则 | |--------|-----------|-----|-----------------| | 初始访问 | 有效账户：本地 | T1078.003 | 100002, 100003, 100011, 100012 | | 执行 | PowerShell | T1059.001 | 100013 | | 执行 | Windows 命令行 | T1059.003 | 100014 | | 持久化 | 创建账户：本地 | T1136.001 | 100006, 100015 | | 持久化 | Systemd 服务 | T1543.002 | 100007 | | 横向移动 | 远程服务：SSH | T1021.004 | 100002, 100004, 100005 | ## 组件 | 组件 | 用途 | 选择原因 | |-----------|---------|----------------| | Wazuh | SIEM/XDR 平台 | 免费、企业级，具有内置规则和 MITRE 映射 | | Docker Compose | 容器编排 | 单条命令即可部署 manager、indexer 和 dashboard | | Sysmon | Windows 遥测 | 捕获进程创建、网络连接、命令行 | | Kali Linux | SSH 堡垒机 | 最初配置为终端，后重新用作堡垒机 | | Windows 10/11 | 员工工作站 | 企业攻击的现实目标 | ## 本项目的不同之处 1. **基线文档** - 在构建检测之前定义了正常活动 2. **自定义规则** - 为我的环境量身定制的检测，而非通用签名 3. **误报处理** - 调整规则以排除合法活动 4. **攻击模拟** - 使用真实场景测试了每项检测 5. **MITRE 映射** - 将每条自定义规则映射到 ATT&CK 框架 ## 项目结构 ``` soc-home-lab/ ├── README.md ├── LICENSE ├── images/ │ ├── architecture.png │ ├── wazuh-agents-active.png │ ├── alert-after-hours-login.png │ ├── alert-powershell-execution.png │ ├── alert-ssh-lateral-movement.png │ ├── alert-admin-login.png │ ├── alert-new-user-created.png │ ├── alert-mitre-tags.png │ └── custom-rules-deployed.png ├── detection-rules/ │ ├── local_rules.xml │ └── mitre-mapping.md ├── documentation/ │ ├── baselines/ │ │ ├── windows-workstation.md │ │ └── linux-bastion.md │ ├── environment-scenario.md │ ├── phase1-setup.md │ └── phase2-detections.md └── configs/ ├── ossec-windows.conf ├── ossec-linux.conf └── sysmonconfig.xml ``` ## 资源 - https://documentation.wazuh.com/current/deployment-options/docker/wazuh-container.html - https://www.youtube.com/watch?v=QT81wcuoRFY&t=634s - https://attack.mitre.org/techniques/enterprise/ - https://documentation.wazuh.com/current/user-manual/ruleset/rules/custom.html - https://smallstep.com/blog/diy-ssh-bastion-host/ - https://documentation.wazuh.com/current/user-manual/manager/integration-with-external-apis.html#slack

标签：AMSI绕过, Cloudflare, Docker Compose, Linux安全监控, meg, MITRE ATT&CK, OpenCanary, Sysmon, Wazuh, Windows安全监控, x64dbg, 云计算, 企业级安全, 信息安全, 分类与处置, 威胁检测, 安全基线, 安全架构, 安全运营中心, 家庭实验室, 库, 应急响应, 攻击模拟, 教学环境, 日志收集, 横向移动, 版权保护, 编程规范, 网络安全, 网络映射, 规则引擎, 隐私保护, 驱动签名利用