Coded-Alchemy/SOC-Home-Lab

# SOC-Home-Lab 本家庭实验室模拟了一个完整的 SOC 环境用于网络安全实战训练。该实验室使用行业标准工具，在威胁检测、事件响应、渗透测试、对手模拟和安全监控方面提供实践经验。 ## 主要目标： - 模拟真实世界的攻击和防御场景 - 练习 SOC 分析师工作流程和程序 - 培养威胁检测和事件响应技能 - 获得使用 SIEM、IDS/IPS 和安全工具的实践经验 - 构建对手模拟和红队能力 - 通过 CI/CD pipeline 实施 Detection-as-Code (DaC) 实践 ## 功能特性 - pfSense Firewall 隔离，创建安全的封闭环境 - Detections as Code Pipeline - Vmware 虚拟化 - 网络分段 ## 架构 [高级概述及图表] ### 基础设施概览 - Hypervisor: VMware Workstation/ESXi - 网络防火墙: pfSense - 网络分段: 4 个隔离的 VLAN - 虚拟机总数: 8 台（计划扩展） - 检测 Pipeline: GitHub Actions + Terraform + Sigma - Self-Hosted Runner: Oracle Linux (CI/CD automation) ### 工具与技术 #### 安全信息与事件管理 (SIEM) - **Splunk Enterprise** - 日志聚合、关联和分析 - **Security Onion (Elastic Stack)** - 以网络为中心的 SIEM #### 网络安全监控 - **Suricata** - 网络 IDS/IPS - **Zeek** - 网络流量分析器 - **Wireshark** - 全包捕获 #### 威胁情报与模拟 - **MITRE Caldera** - 自动化对手模拟 - **MITRE ATT&CK Framework** - 对手战术和技术 #### 检测工程与 CI/CD - **Sigma** - 通用检测规则格式 - **GitHub Actions** - CI/CD 自动化平台 - **Terraform** - Infrastructure as Code - **Self-Hosted Runner** - 本地 CI/CD 执行环境 #### 终端安全 - **Sysmon** - Windows 系统监控 - **Splunk Universal Forwarder** - 日志收集 Agent #### 网络基础设施 - **pfSense** - 防火墙和路由器 - **VMware** - 虚拟化平台 #### 渗透测试 - **Kali Linux** - 综合渗透测试平台 - **Metasploit Framework** - 漏洞利用框架 - **Burp Suite** - Web 应用程序安全测试 ## 文档 [VMware 虚拟化实验室](./virtualization-lab/) [pfSense 防火墙实验室](./pfsense-firewall-lab/) [Splunk 检测工程实验室](./splunk-detection-engineering-lab/) [Detections as Code 实验室](https://github.com/Coded-Alchemy/Detections_as_Code) ## 使用场景 1. **威胁检测与响应** - 实时警报生成和分析 - SIEM 规则创建和调优 - 事件调查工作流程 - 威胁搜寻练习 2. **对手模拟** - 自动化 MITRE ATT&CK 技术执行 - 红队行动模拟 - 检测工程与验证 - 紫队练习 3. **网络安全监控** - 全包捕获与分析 - 网络流量基线建立 - 异常检测 - 协议分析 4. **Detection-as-Code (DaC) Pipeline** - 使用 Sigma 规则进行自动化检测部署 - 在 Git 中进行版本控制的安全检测 - 使用 GitHub Actions 的 CI/CD pipeline - 使用 Terraform 的 Infrastructure as Code - 自动化测试与验证 - 用于安全执行的 Self-hosted runner 5. **恶意软件分析** - 静态和动态恶意软件分析 - 在隔离环境中进行行为分析 - 逆向工程 - 指标 提取 6. **渗透测试** - 网络侦察和扫描 - 漏洞评估和利用 - Web 应用程序测试 - 密码破解和凭据攻击 - 后渗透和权限提升 ## 展示技能 - SIEM 管理 - Splunk 部署和配置 - 网络安全监控 - IDS/IPS 实施 - 渗透测试 - 完整攻击生命周期执行 - 网络分段 - VLAN 设计和防火墙规则 - 日志分析 - 威胁检测和调查 - 对手模拟 - MITRE ATT&CK 框架 - 虚拟化 - VMware 基础设施管理 - 端点安全 - Sysmon 和 EDR 概念 - Linux 管理 - Oracle Linux 和 Kali 系统 - Windows 安全 - 加固和监控 - 检测工程 - Sigma 规则开发 - DevSecOps - CI/CD pipeline 实施 - Infrastructure as Code - Terraform 用于安全自动化 - 版本控制 - Git 工作流程和协作 - 自动化与脚本 - Python, Bash, GitHub Actions ## 未来增强 - Active Directory 实验室

标签：adversary emulation, AMSI绕过, Caldera, Cloudflare, Detection-as-Code, ECS, GitHub Actions, HTTP/HTTPS抓包, IDS/IPS, IP 地址批量处理, Metaprompt, MITRE ATT&CK, MIT许可证, OPA, PE 加载器, pfSense, Rootkit, Security Onion, Suricata, Sysmon, Terraform, VLAN, VMware, Wireshark, Zeek, 事件响应, 取证, 句柄查看, 基础架构即代码, 威胁检测, 安全培训, 安全运营中心, 家庭实验室, 库, 应急响应, 应用安全, 态势感知, 数据展示, 现代安全运营, 管理员页面发现, 红队, 网络分段, 网络安全, 网络安全实验, 网络映射, 自动笔记, 虚拟化, 逆向工具, 速率限制, 防火墙, 隐私保护, 靶场