WissemTy/BlueTeam-SOAR-Automation-Lab

# 自动化 SOC 与 XDR/SOAR 技术栈 (家庭实验室)   

## 📌 项目概述 本项目致力于构建一个功能完备的安全运营中心 (SOC)，以模拟真实环境下的攻击与防御场景。它展示了 SIEM 在威胁检测中的集成应用，以及 SOAR 平台在自动化事件响应中的实践。 **当前状态：** 🚧 开发中 (正在实施 SOAR 工作流) ! ## 🗺️ 网络地址规划 | 主机名 | 角色 | 操作系统 / 发行版 | 管理 (NAT) | 内部网络 (SOC-NET) | | :--- | :--- | :--- | :--- | :--- | | **SOC-WAZUH-SRV-01** | Wazuh Manager | **Ubuntu Live Server 24.04** | SSH: 2222 | **10.0.5.2** | | **WIN-SRV-01** | Windows Target | **Windows Server 2022** | RDP: 3389 | **10.0.5.10** | | **PENTEST-NODE** | Red Team Node | **Kali Linux (64-bit)** | SSH: 2223 | **10.0.5.50** | ## 🛠️ 实施细节 * **SIEM/XDR:** 安装 Wazuh 用于集中化日志管理和端点监控。 * **存储:** 在 Ubuntu 服务器上配置 **LVM (Logical Volume Management)**，以便为日志数据库灵活调整磁盘大小。 * **遥测数据:** 通过 Wazuh Agent 和 **Sysmon** 采集 Windows 事件。 * **自动化 (进行中):** 集成 **Shuffle (SOAR)**，通过 API (VirusTotal) 进行告警富化以及自动化响应。 ## ⚔️ 计划场景 1. **检测:** 识别针对 Windows Server 的暴力破解和凭据转储行为。 2. **分析:** 关联日志以识别攻击源 (PENTEST-NODE)。 3. **响应:** 使用 Wazuh **Active Response** 在防火墙层面阻断恶意 IP。 ## 🧰 技术栈 * **安全工具:** Wazuh, Sysmon, Shuffle (SOAR). * **操作系统:** Ubuntu Server, Windows Server 2022, Kali Linux. * **Hypervisor:** VirtualBox.

标签：AMSI绕过, API 集成, Ask搜索, DAST, HTTP/HTTPS抓包, IT 运维, OISF, PE 加载器, Shuffle, SOAR, Sysmon, TGT, VirusTotal, Wazuh, Windows Server, 威胁检测, 安全运营中心, 家庭实验室, 态势感知, 恶意软件分析, 攻防演练, 日志管理, 时间线生成, 渗透测试框架, 网络安全, 网络映射, 自动化响应, 蜜罐, 证书利用, 速率限制, 防御, 隐私保护