DkHelmi/Security-Lab
GitHub: DkHelmi/Security-Lab
一个从零构建的 SOC 实验环境,用于通过真实攻击模拟练习事件检测、日志分析和攻击调查。
Stars: 0 | Forks: 0
# 安全实验室
一个从零开始构建的实战安全运营中心 (SOC) 实验环境,用于利用真实世界的 MITRE ATT&CK 技术练习事件检测、日志分析和攻击调查。
## 实验室拓扑
## 技术栈
| 组件 | 工具 | 用途 |
|-----------|------|---------|
| SIEM | Wazuh 4.9.2 (All-in-One) | 日志聚合、告警、仪表板 |
| 域控制器 | Windows Server 2022 + AD DS | 身份验证、DNS、组策略 |
| 端点监控 | Sysmon (SwiftOnSecurity config) | 详细的进程与网络遥测 |
| 日志转发 | Wazuh Agent | 将 Windows Event Logs + Sysmon 传输至 SIEM |
| 攻击模拟 | Hydra, CrackMapExec, Impacket | 生成真实的攻击流量 |
| 虚拟化 | VirtualBox (Host-Only + NAT) | 隔离的实验室网络 |
## 调查案例
每项调查遵循一致的方法论:**攻击模拟 → 检测与分析 → 文档记录与 MITRE 映射**。
| # | 案例 | MITRE 技术 | 攻击向量 | 状态 |
|---|------|-----------------|---------------|--------|
| 001 | [RDP 暴力破解攻击](./Investigation-001-BruteForce/) | [T1110.001](https://attack.mitre.org/techniques/T1110/001/) | Hydra → WKS01 (RDP) | 🔲 未开始 |
| 002 | [可疑的 PowerShell 执行](./Investigation-002-PowerShell/) | [T1059.001](https://attack.mitre.org/techniques/T1059/001/) | WKS01 上的编码 PowerShell | 🔲 未开始 |
| 003 | [SMB 横向移动](./Investigation-003-LateralMovement/) | [T1021.002](https://attack.mitre.org/techniques/T1021/002/) | CrackMapExec + PsExec → DC01 | 🔲 未开始 |
## 每项调查包含
```
Investigation-XXX-Name/
├── incident_report.md # Executive summary + technical narrative
├── mitre_mapping.md # ATT&CK technique breakdown & detection logic
├── timeline_analysis.md # Minute-by-minute event correlation
└── evidence/ # Sanitized screenshots & log excerpts
```
## 实验室设置与故障排除
从零构建此实验室暴露了真实世界中的问题。完整的设置文档和解决方案位于 [`lab-setup/`](./lab-setup/)。
亮点:
- 将 Ubuntu LVM 从 12GB 扩展到 23GB 以用于 Wazuh 存储
- 解决双网卡 VM 上的 `cloud-init` 默认路由冲突
- 修复 `systemd-resolved` 与静态 DNS 的问题以确保加域可靠性
- 处理 VirtualBox 无头模式崩溃 (`0xc0000005` / `edputil.dll`)
## 检测规则
在调查过程中开发的自定义 Wazuh 规则和配置记录在 [`detection-rules/`](./detection-rules/) 中。
## Windows 事件 ID 参考
所有调查中监控的关键事件:
| 事件 ID | 来源 | 描述 | 用于 |
|----------|--------|-------------|---------|
| 4624 | Security | 成功登录 | 案例 001, 003 |
| 4625 | Security | 登录失败 | 案例 001 |
| 4688 | Security | 进程创建 | 案例 002 |
| 4698 | Security | 计划任务已创建 | 案例 002, 003 |
| 4648 | Security | 显式凭据登录 | 案例 003 |
| 1 | Sysmon | 进程创建 (详细) | 案例 002, 003 |
| 3 | Sysmon | 网络连接 | 案例 003 |
## 展示的技能
- **告警分类** — 在 Wazuh 中区分真阳性和假阳性
- **日志关联** — 交叉引用 Windows Security、Sysmon 和 Wazuh 告警
- **事件时间线** — 逐分钟重建攻击序列
- **MITRE ATT&CK 映射** — 将发现关联到具体的技术和子技术
- **实验室工程** — 构建和维护多虚拟机 SOC 环境
- **攻击模拟** — 执行结构化攻击以生成调查证据
## 路线图
- [ ] 完成调查 001 — 暴力破解攻击
- [ ] 完成调查 002 — 可疑 PowerShell
- [ ] 完成调查 003 — 横向移动
- [ ] 添加基于 PCAP 的调查案例 (Wireshark + Zeek)
- [ ] 添加网络威胁追踪案例 (Security Onion)
- [ ] 开发自动化 IOC 提取脚本
*由 [@DkHelmi](https://github.com/DkHelmi) 构建并维护*
标签:Active Directory, AMSI绕过, Cloudflare, CrackMapExec, Hydra, Impacket, MITRE ATT&CK, OPA, OpenCanary, Plaso, PoC, PowerShell攻击, RDP攻击, SMB安全, SOC实验室, Sysmon, Terraform 安全, Wazuh, Windows Server, 威胁检测, 安全实验, 安全运营中心, 攻击调查, 数字取证, 暴力破解, 模拟攻击, 横向移动, 红队行动, 编程规范, 网络安全, 网络映射, 自动化脚本, 蜜罐, 证书利用, 隐私保护, 靶场