Ronoh12/home-soc-lab

# 家庭 SOC 实验环境 该项目模拟了一个构建在个人工作站上的 **安全运营中心 (SOC) 调查环境**。 该实验环境展示了安全分析师如何利用系统日志和网络流量来检测并调查可疑活动。 # 实验目标 - 生成模拟攻击场景 - 收集安全日志 - 捕获网络流量 - 调查可疑活动 - 记录安全发现 # 使用的工具 - PowerShell - Windows Event Logs - Wireshark - Nmap - GitHub # 调查场景 ## 1. 认证攻击检测 **证据来源** Windows Security Event Logs **检测到的事件** Event ID 4625 含义： 账户登录失败。 **分析** 重复的登录失败尝试可能表明： - 暴力破解攻击 - 未授权访问尝试 - 凭证错误 证据文件： **logs/failed_logon_4625.txt** **logs/security_events.txt** ## 2. 端口扫描检测 **攻击模拟** Nmap SYN 扫描。 使用的命令： **nmap -sS localhost** **检测方法** 使用 Wireshark 分析网络捕获。 使用的过滤器： **tcp.flags.syn == 1 and tcp.flags.ack == 0** 此过滤器揭示了用于端口扫描的 SYN 数据包。 证据文件： **logs/nmap_scan_capture.pcapng** ## 3. DNS 流量调查 DNS 查询是使用以下命令生成的： **nslookup google.com** **nslookup github.com** **nslookup wikipedia.org** 使用 Wireshark 捕获并使用以下过滤器进行分析： **dns** 证据文件： **logs/dns_capture.pcapng** # 项目结构 home-soc-lab │ ├── logs ├── investigations ├── network-investigation ├── dns-investigation ├── screenshots └── tools # 展示的技能 - 安全日志分析 - 网络流量调查 - 威胁检测 - 事件记录 - SOC 调查工作流 # 总结 该家庭 SOC 实验环境展示了安全分析师用于识别网络和系统中可疑活动的实用检测与调查技术。

标签：AI合规, CTI, DNS分析, IPv6, Nmap, PCAP分析, PoC, PowerShell, Windows事件日志, Wireshark, 句柄查看, 安全运营中心, 实验室环境, 家庭实验室, 插件系统, 数字取证, 数据统计, 暴力破解, 端口扫描, 网络安全, 网络映射, 自动化脚本, 虚拟驱动器, 身份验证攻击, 隐私保护