DIGunasekara/SOC-Home-Lab

GitHub: DIGunasekara/SOC-Home-Lab

Stars: 0 | Forks: 0

# SOC-Home-Lab 企业级 SOC 家庭实验室:ELK Stack 8.x SIEM、Sysmon 遥测、Atomic Red Team 攻击模拟、自定义 KQL 检测规则,映射 MITRE ATT&CK # 🛡️ SOC 家庭实验室 — 企业安全运营中心构建 ![Status](https://img.shields.io/badge/Status-Phase%203%20In%20Progress-yellow) ![SIEM](https://img.shields.io/badge/SIEM-ELK%20Stack%208.x-blue) ![Rules](https://img.shields.io/badge/Detection%20Rules-Planned-lightgrey) ![ATT&CK](https://img.shields.io/badge/MITRE%20ATT%26CK-Planned-lightgrey) ## 🎯 项目构建 本实验室由三台虚拟机组成,模拟企业级 SOC 环境: | 组件 | 角色 | 技术 | IP | |--------------|-----------------------|-------------------------------------|----------------| | ELK-Server | SIEM / 日志分析 | Elasticsearch 8.x + Kibana + Fleet | 192.168.10.30 | | Win10-Target | 监控端点 | Windows 10 Pro + Sysmon + Agent | 192.168.10.20 | | Kali-Attacker| 对手模拟 | Kali Linux + Atomic Red Team | 192.168.10.10 | ## 🏗️ 架构 ``` ┌─────────────────────────────────────────────────────────────┐ │ VMnet2 (192.168.10.0/24) — Isolated Network │ │ │ │ ┌─────────────────┐ ┌──────────────────┐ ┌─────────┐ │ │ │ ELK-Server │ │ Win10-Target │ │ Kali │ │ │ │ 192.168.10.30 │◄──│ 192.168.10.20 │ │ .10 │ │ │ │ Kibana :5601 │ │ Elastic Agent │ │ ART │ │ │ │ Fleet :8220 │ │ Sysmon │ │ │ │ │ │ │ │ PS Logging │ │ │ │ │ └─────────────────┘ └──────────────────┘ └─────────┘ │ └─────────────────────────────────────────────────────────────┘ ``` ## 📋 构建阶段 | # | 阶段 | 主题 | 状态 | |---|--------------------|-------------------------------------------|--------| | 1 | 基础设施 | VM 设置、VMnet2、静态 IP | ✅ 完成 | | 2 | ELK Stack | Elasticsearch 8.x + Kibana + Fleet | ✅ 完成 | | 3 | 端点遥测 | Sysmon、Elastic Agent、PS 日志记录 | 🟡 进行中 | | 4 | 攻击模拟 | 通过 Atomic Red Team 实施 8 种 ATT&CK 技术 | ⚪ 未开始 | | 5 | 检测工程. | 5 条自定义 KQL 规则 + SOC 仪表板 | ⚪ 未开始 | | 6 | 威胁狩猎/IR | 3 次狩猎、事件报告 IR-2024-001 | ⚪ 未开始 | ## 🔍 检测规则 | 规则文件 | 技术 | 战术 | 严重性 | 来源 | |-----------|-----------|--------|----------|--------| | *将在第 5 阶段创建* | - | - | - | - | ## 🗺️ MITRE ATT&CK 覆盖范围 ![ATT&CK Coverage Heatmap](https://raw.githubusercontent.com/DIGunasekara/SOC-Home-Lab/main/mitre-coverage/placeholder.png) ## 📸 关键截图 ### 检测警报(将在第 5 阶段实施) ![LSASS Alert](https://raw.githubusercontent.com/DIGunasekara/SOC-Home-Lab/main/screenshots/phase5-detections/placeholder.png) ### SOC 仪表板(计划中) ## ![Dashboard](https://raw.githubusercontent.com/DIGunasekara/SOC-Home-Lab/main/screenshots/phase6-hunting/placeholder.png) ## 📁 仓库结构 详见 [setup/README.md](setup/README.md) ## 🛠️ 展示技能(进行中) - SIEM 部署 — ELK Stack 8.x 安装与配置 - Fleet Server 设置与 Agent 策略配置 - 使用 VMware 进行企业网络隔离 - 端点遥测配置(Sysmon + Elastic Agent — 进行中) - 检测工程(计划在第 5 阶段进行) - 威胁狩猎与事件响应(计划在第 6 阶段进行) ## 🚀 复现此实验室 *由 [DIGunasekara](https://github.com/DIGunasekara) 构建 · [MIT License](https://github.com/DIGunasekara/SOC-Home-Lab/blob/main/LICENSE) · 2026*
标签:AI合规, Atomic Red Team, Cloudflare, Elastic Agent, Elasticsearch, ELK Stack, KQL, Libemu, Libemu, MITRE ATT&CK, PE 加载器, Process Hacker, Sysmon, Windows 10, 企业安全, 安全运营, 家庭实验室, 扫描框架, 攻击模拟, 数据泄露检测, 检测规则, 网络安全, 网络安全审计, 网络资产发现, 网络资产管理, 越狱测试, 遥测数据, 隐私保护, 驱动签名利用