jad-fahmi/soc-home-lab

# SOC 家庭实验室 一个基于本地虚拟机构建的功能性安全运营中心 (SOC) 环境，旨在生成真实的安全遥测数据、模拟攻击，并练习从日志摄取到警报分类的完整分析师工作流程。 ## 实验室架构 ``` ┌─────────────────────────────────────────────────────────┐ │ Host Machine │ │ │ │ ┌──────────────┐ ┌──────────────────────────┐ │ │ │ Windows 10 │ │ Ubuntu 22.04 │ │ │ │ Endpoint │──────▶│ Elastic SIEM / ELK │ │ │ │ (Victim VM) │ │ Stack │ │ │ └──────────────┘ └──────────────────────────┘ │ │ │ ▲ │ │ ┌──────┴───────┐ │ │ │ │ Kali Linux │──────────────────┘ │ │ │ (Attacker) │ (attack traffic → logs → SIEM) │ │ └──────────────┘ │ └─────────────────────────────────────────────────────────┘ ``` | VM | OS | 角色 | RAM | |----|----|------|-----| | soc-siem | Ubuntu 22.04 LTS | Elastic Stack (SIEM) | 4 GB | | soc-windows | Windows 10 | 被监控端点 | 2 GB | | soc-attacker | Kali Linux 2024.1 | 攻击模拟 | 2 GB | 所有 VM 均在 VirtualBox 的 Host-Only 网络 (`192.168.56.0/24`) 中运行。 ## 项目结构 ``` soc-home-lab/ ├── configs/ # Winlogbeat, Filebeat, Elastic configs ├── detection-rules/ # Custom SIEM detection rules (KQL/EQL) ├── docs/ # Setup guides and architecture notes ├── investigations/ # Written incident investigation reports ├── scripts/ # Attack simulation & automation scripts └── screenshots/ # Evidence from lab investigations ``` ## 涵盖的攻击场景 | # | 场景 | 检测方法 | MITRE ATT&CK | |---|----------|-----------------|--------------| | 1 | RDP 暴力破解 | 登录失败 (Event ID 4625) 激增 | T1110.001 | | 2 | 可疑 PowerShell | Event ID 4104 编码命令 | T1059.001 | | 3 | 创建新本地管理员 | Event ID 4720 + 4732 | T1136.001 | | 4 | 恶意软件 C2 Beacon 模拟 | 出站 DNS + 周期性连接 | T1071.004 | | 5 | 横向移动 (Pass-the-Hash) | Event ID 4624 Type 3 登录 | T1550.002 | ## 技术栈 - **SIEM:** Elastic Stack 8.x (Elasticsearch + Kibana + Fleet) - **Log Shippers:** Winlogbeat (Windows), Filebeat (Linux) - **EDR:** Elastic Defend (端点代理) - **Packet Analysis:** Wireshark, tcpdump - **Threat Intel:** VirusTotal, AbuseIPDB, MITRE ATT&CK Navigator ## 设置 有关完整的环境设置演示，请参阅 [`docs/lab-setup.md`](docs/lab-setup.md)。 ## 调查 每项调查均遵循结构化格式： 1. **Alert (警报)** — SIEM 中的触发内容 2. **Triage (分类)** — 初始严重性评估 3. **Investigation (调查)** — 通过日志和遥测数据进行追踪 4. **Conclusion (结论)** — 确认攻击 / 误报 / 升级处理 5. **Recommendations (建议)** — 遏制或调优措施 有关完整的详细报告，请参阅 [`investigations/`](investigations/) 目录。

标签：AMSI绕过, BurpSuite集成, Elastic SIEM, Elastic Stack, ELK Stack, Home Lab, IP 地址批量处理, MIT许可证, OPA, PE 加载器, SOC 搭建, Virtu, Windows 10, 受害者, 威胁检测, 安全分析师, 安全培训, 安全运营中心, 安全遥测, 家庭实验室, 攻击模拟, 攻击者, 数据展示, 数据集, 日志摄取, 流量重放, 生成式AI安全, 紫队, 红队, 网络安全实验环境, 网络安全教育, 网络映射, 虚拟机, 警报分类, 靶场, 驱动签名利用