ebuggy84/hybrid-soc-lab

# 🛡️ Hybrid SOC 家庭实验室 — 检测工程与事件响应 **由 Emilio Burgohy 构建 | 网络安全分析师 | USF 网络犯罪与数字取证硕士** [](https://www.comptia.org/) [](https://www.comptia.org/) [](https://azure.microsoft.com/en-us/products/microsoft-sentinel) [](https://wazuh.com/) ## 🎯 任务 本实验室通过将本地基础设施连接到云原生安全工具，模拟了一个**真实的混合 SOC**。其目标是实践完整的安全运营生命周期： - **检测工程** — 编写能够捕捉真实攻击者行为的规则 - **事件响应** — 对安全事件进行分流、调查和记录 - **威胁模拟** — 攻击自身环境以验证检测能力 - **云 + 本地集成** — 通过安全隧道将本地硬件桥接到 Microsoft Sentinel ## 🏗️ 基础设施概览 ``` ┌─────────────────────────────────────────────────────────────────┐ │ HOME NETWORK │ │ (Unifi Ecosystem) │ │ UDM Pro Max → USW Pro 48 PoE → 8-Port Agg → 24-Port Switch │ └────────────────────────┬────────────────────────────────────────┘ │ ┌────────────────┼────────────────┐ │ │ │ ┌────▼─────┐ ┌─────▼────┐ ┌─────▼────┐ │ NODE 1 │ │ NODE 2 │ │ NODE 3 │ │ MSA2 Mini│ │ MS01 │ │ MS01 │ │ 128GB RAM│ │ 96GB RAM │ │ 96GB RAM │ │ 4TB NVMe│ │ 2TB NVMe│ │ 2TB NVMe│ │ │ │ │ │ │ │ [Wazuh] │ │[OpenVAS] │ │ [DC01] │ │ SIEM │ │ Vuln │ │ Domain │ │ │ │ Scanner │ │Controller│ │ │ │ │ │[Win11 VM]│ │ │ │ │ │ Victim │ └──────────┘ └──────────┘ └──────────┘ │ │ │ └────────────────┼────────────────┘ │ Proxmox Cluster (All 3 Nodes) │ 320GB RAM Total │ ┌────▼────┐ │WireGuard│ ← Encrypted tunnel │ Tunnel │ (no open ports) └────┬────┘ │ ┌─────────▼──────────┐ │ AZURE CLOUD │ │ │ │ [SOC-Gateway-VM] │ │ Log Collector │ │ AMA Agent │ │ ↓ │ │ [Microsoft Sentinel]│ │ KQL Queries │ │ Analytics Rules │ │ Incident Mgmt │ └────────────────────┘ │ ┌─────────▼──────────┐ │ Security Onion │ ← Bare metal (GMKtec 32GB) │ Network IDS/NSM │ └────────────────────┘ ``` ## 🖥️ 硬件清单 | 设备 | 角色 | 内存 | 存储 | 状态 | |--------|------|-----|---------|--------| | Minisforum MSA2 (节点 1) | Proxmox / Wazuh SIEM | 128GB | 4TB NVMe | 🟢 在线 | | Minisforum MS01 (节点 2) | Proxmox / OpenVAS | 96GB | 2TB NVMe | 🟢 在线 | | Minisforum MS01 (节点 3) | Proxmox / DC01 + 受害者 VM | 96GB | 2TB NVMe | 🟢 在线 | | GMKtec Mini PC | Security Onion (裸金属) | 32GB | 1TB HDD | 🟢 在线 | | Zimaboard 832 (x3) | 边缘设备 / 可用 | - | - | 🟡 待机 | | Zimaboard 1664 (x2) | 边缘设备 / 可用 | - | - | 🟡 待机 | | Kali Linux (Zimaboard) | 攻击模拟平台 | - | - | 🟢 在线 | **网络:** Unifi UDM Pro Max | USW Pro 48 PoE | 8 端口聚合 | 24 端口交换机 ## 🔧 安全技术栈 | 工具 | 类别 | 用途 | |------|----------|---------| | Microsoft Sentinel | 云 SIEM | 集中式日志分析，KQL 检测，事件管理 | | Wazuh | 本地 SIEM/XDR | 基于主机的 IDS，FIM，MITRE ATT&CK 映射 | | Security Onion | NSM / IDS | 网络流量分析，Zeek 日志，Suricata 告警 | | OpenVAS | 漏洞扫描器 | 对实验室资产进行持续漏洞评估 | | WireGuard | 安全隧道 | 加密的本地到 Azure 日志转发 | | Azure Monitor Agent | 日志转发 | Syslog → Sentinel 管道，通过 SOC-Gateway VM | | Proxmox VE | Hypervisor | 管理所有 VM 的 3 节点集群 | | Unifi | 网络基础设施 | VLAN 分段，防火墙规则，流量镜像 | | Kali Linux | 威胁模拟 | 授权的攻击模拟以验证检测 | ## 📁 仓库结构 ``` /hybrid-soc-homelab │ ├── README.md ← You are here │ ├── /infrastructure ← Lab setup guides & configs (sanitized) │ ├── proxmox-cluster-setup.md │ ├── wireguard-tunnel-setup.md │ ├── azure-sentinel-onboarding.md │ └── network-segmentation.md │ ├── /detections ← KQL & Wazuh detection rules │ ├── README.md │ ├── kql/ │ │ ├── brute-force-detection.kql │ │ ├── sudo-abuse-detection.kql │ │ └── after-hours-login.kql │ └── wazuh/ │ └── custom-rules.xml │ ├── /runbooks ← Incident response playbooks │ ├── README.md │ ├── brute-force-response.md │ ├── malware-triage.md │ └── unauthorized-access.md │ ├── /findings ← Real detections from this lab │ ├── README.md │ └── (sanitized screenshots and write-ups) │ └── /scripts ← Automation and utility scripts ├── README.md └── log-health-check.sh ``` ## 🚀 关键成就 - ✅ 构建了运行企业安全工具的 3 节点 Proxmox 集群 (320GB RAM) - ✅ 建立了加密 WireGuard 隧道 — 零对互联网开放端口 - ✅ 将日志接入 Microsoft Sentinel；过滤了 6,000+ 噪声事件以优化预算 - ✅ 部署了带有 MITRE ATT&CK 框架映射的 Wazuh SIEM - ✅ 在实验室环境中运行持续的 OpenVAS 漏洞扫描 - ✅ Active Directory 实验室 (DC01 + Windows 11 受害者) 用于真实的攻击模拟 - 🔄 构建 KQL 分析规则以实现自动事件生成 - 🔄 计划进行威胁模拟演练（暴力破解、权限提升） ## 📬 联系方式 - **LinkedIn:** [linkedin.com/in/emilioburgohy198](https://linkedin.com/in/emilioburgohy198) - **Email:** emilioburgohy@gmail.com - **GitHub:** [github.com/emilioburgohy](https://github.com/emilioburgohy)

标签：AD安全, BurpSuite集成, FTP漏洞扫描, IP 地址批量处理, Microsoft Sentinel, PE 加载器, Security Onion, SOC分析师, Wazuh, Web报告查看器, 安全编排, 安全运营中心, 家庭实验室, 恶意流量检测, 数字取证, 本地部署, 混合SOC, 网络安全, 网络安全审计, 网络映射, 自动化脚本, 蜜罐技术, 速率限制, 隐私保护