0xrooted/soc-homelab

# SOC Homelab 本仓库记录了构建和实验一个小型安全运营中心 (SOC) 家庭实验室的过程。 本项目的目标是获得关于攻击者活动如何生成遥测数据以及如何使用端点日志和 SIEM 调查这些事件的实践理解。 该实验室有意保持简单和专注。使用一台攻击机模拟活动，Windows 系统使用 Sysmon 生成遥测数据，并在 Splunk 中分析所有日志。 ## 实验室架构 ``` Kali Linux (Attacker) │ │ Simulated Activity / Reconnaissance ▼ Windows 10 VM (Sysmon Telemetry) │ │ Event Logs V Splunk Enterprise (Log Analysis & Detection) ``` 此设置允许进行受控的攻击模拟，同时将所有内容保持在隔离环境中。 ## 组件 ### 攻击机 * Kali Linux * 使用的工具： * Nmap * Hydra * Netcat * Curl ### 受害者系统 * Windows 10 虚拟机 * Sysmon（用于增强日志记录和可见性） ### 监控与分析 * Splunk Enterprise * Wireshark *（可选，用于数据包级别检查）* ## 项目结构 ``` SOC-Homelab │ ├── 01-Lab-Setup ``` 每个部分代表了构建和使用实验室的一个阶段，从初始设置到检测和调查。 ## 本实验室涵盖的内容 本项目侧重于建立对安全监控和分析的实践理解。 关键领域包括： * 模拟网络侦察 * 使用 Sysmon 收集主机遥测数据 * 在 Splunk 中摄取和搜索日志 * 编写基本的检测逻辑 * 执行简单的事件调查 ## 示例场景 可以从攻击机模拟基本的侦察扫描： ``` nmap -sT -Pn ``` 这有助于演示扫描活动在防御者视角下的样子，以及如何使用可用的日志对其进行调查。 ## 学习目标 该实验室用于练习： * 理解攻击者行为 * 解读端点遥测数据 * 在 SIEM 中调查事件 * 记录分析和发现 ## 注意事项 所有活动均在隔离的虚拟环境中执行，并严格仅用于教育目的。

标签：CTI, HTTP工具, IP 地址批量处理, Nmap, Sysmon, Windows 10, 安全运营中心, 实验环境, 家庭实验室, 插件系统, 攻击模拟, 数字取证, 网络安全, 网络安全审计, 网络映射, 自动化脚本, 虚拟驱动器, 遥测数据, 隐私保护, 驱动签名利用