miholmestech/soc-detection-lab

# SOC 检测实验室 该仓库记录了一个实操型 SOC 检测实验室，旨在模拟安全分析师如何在小型多主机环境中监控、检测和调查真实活动。 Windows 和 Linux 系统将遥测数据发送到集中的 SIEM，同时一台单独的攻击机生成逼真的活动以进行检测测试。 为什么构建多主机环境？因为我具备构建它的知识，所以是时候将理论转化为实践经验了。 *四处看看。请善待。你正在我的大脑里。* ## 目标 构建并记录一个逼真的 SOC 实验室，以便我能够： - 将来自多个端点的遥测数据收集到中央 SIEM - 扩大攻击面以提高检测精度 - 创建具体的检测用例（RDP、SSH、PowerShell 等） - 练习像初级 SOC 分析师一样构建调查流程 - 随着新需求的出现迭代实验室设计 ## 实验室架构概述 该实验室模拟了一个小型受监控的企业网络，拥有独立的基础设施用于遥测收集和对手模拟。 ### 受监控环境 - 安装了 Sysmon + Wazuh agent 的 Windows 10 端点 - 用于纯净遥测和调查准备的专用 Linux 端点 - Ubuntu Wazuh 服务器（manager、indexer、dashboard） ### 对抗系统 - 用作外部攻击者的 Kali Linux VM - 未加入 Wazuh 监控 - 用于生成逼真的活动，包括： - RDP 尝试 - SSH 暴力破解尝试 - 网络扫描 - 可疑流量 这种分离反映了现实世界的 SOC 环境，其中恶意活动源自受监控环境之外，必须通过端点和网络遥测数据而非直接查看攻击者系统来检测。 ## 仓库结构 ``` 01_Multi_Host_SIEM_with_Sysmon Initial lab deployment and telemetry validation 02_Kali_Attack_Box_Integration Attacker VM setup and network segmentation 03_Linux_Endpoint_Telemetry_Integration Dedicated endpoint added to improve log clarity and investigation accuracy 04_RDP_Investigation Detection and investigation workflow (in progress) 05_SSH_Investigation Upcoming Linux-focused detection scenarios ``` ## 你会在这里找到什么 - 环境部署与配置 - 检测工程实验 - 调查工作流与时间线 - 实验室迭代中的经验教训 - 沿途做出的架构决策 这个实验室始终是一个进行中的工作。随着检测需求的发展，环境也随之演变。 ## 👩🏿‍💻 作者 **Michelle Holmes** *SOC Analyst | Blue Team Focus* [GitHub](https://github.com/miholmestech) | [LinkedIn](https://www.linkedin.com/in/michelle-holmes-252441291/)

标签：AMSI绕过, HTTP/HTTPS抓包, IP 地址批量处理, Linux 安全, PE 加载器, Python3.6, RDP 攻击, RFI远程文件包含, SSH 暴力破解, Sysmon, Wazuh, Windows 安全, 云存储安全, 代码示例, 威胁检测, 安全实训, 安全运营中心, 实验室环境, 态势感知, 插件系统, 攻击模拟, 数据分析, 私有化部署, 端点检测, 网络安全, 网络扫描, 网络映射, 遥测数据, 防御规避, 隐私保护, 驱动签名利用