PePeLePuu0610/pepeslab-soc-lab

# pepeslab-soc-lab # 项目：虚拟化 SOC 与检测工程实验室 一个专为模拟网络攻击、采集遥测数据以及开发高保真检测规则而设计的综合环境。 ## 📌 项目概述 本代码库包含我的家庭 SOC 实验室的架构、配置和检测逻辑。该项目的目标是通过将现实世界的漏洞利用映射为可操作的 SIEM 告警，从而弥合“攻击者行为”与“防御者可见性”之间的差距。 ## 🏗️ 架构 - **Hypervisor:** VMware ESXi / Workstation - **SIEM/Analytics:** Splunk Enterprise - **Endpoint Protection:** Wazuh (EDR/HIDS) & Sysmon - **Firewall/Routing:** pfSense - **Endpoints:** Windows Server 2022 (AD), Windows 10, Ubuntu 22.04 ## 📂 仓库结构 * `build/`：网络接口、IP 规划和 VM 配置的文档。 * `scripts/`：用于流量生成和攻击模拟的 Python 和 PowerShell 工具。 * `telemetry/`：在模拟攻击阶段捕获的日志样本 (JSON/CSV)。 * `detections/`：生产就绪的 Splunk SPL 和 Wazuh XML 规则。 ## 🚀 实验室用例 ### 1. 暴力破解检测 **场景：** 远程攻击者试图通过字典攻击猜测 SSH 凭据。 - **生成器：** `scripts/brute_force_gen.py` - **检测逻辑：** 识别 2 分钟内同一来源 IP 发生超过 5 次失败后紧接着成功登录的行为。 - **查询：** [检测规则链接] ### 2. Living off the Land (LotL) **场景：** 使用 `certutil.exe` 下载恶意 Payload。 - **遥测源：** Windows Event ID 4688 (Process Creation) - **检测：** 监控包含 "urlcache" 或 "split" 的命令行参数。 ## 🛠️ 如何使用本仓库 1. 按照 `build/` 指南设置您的虚拟网络。 2. 运行 `scripts/` 中的模拟脚本以生成遥测数据。 3. 将日志摄取到 Splunk 中，并应用 `detections/` 中的查询。

标签：AI合规, AMSI绕过, BurpSuite集成, EDR, HTTP/HTTPS抓包, IPv6, LotL, PoC, PowerShell, Python, SOC实验室, Sysmon, Wazuh, 威胁检测, 安全运营中心, 家庭实验室, 态势感知, 攻击仿真, 无后门, 暴力破解, 漏洞模拟, 红队行动, 网络信息收集, 网络安全, 网络映射, 脆弱性评估, 逆向工具, 隐私保护