Shakshi2603/SOC-blue-team-labs
GitHub: Shakshi2603/SOC-blue-team-labs
基于 Wazuh 的 SOC 家庭实验环境,模拟真实攻击场景并记录完整的 NIST 事件响应流程
Stars: 0 | Forks: 0
# 🛡️ SOC 事件实验室 — 蓝队家庭实验集锦
## 🔭 项目简介
这不是一个跟随教程的简单练习。这是一个专业级的 SOC 家庭实验室,我在其中模拟真实攻击,跨多个 SIEM 平台进行检测,编写自定义检测规则,并以 NIST 事件响应格式记录所有内容。
由一名正在积极转型进入网络安全领域——从蓝队和 SOC 运营开始——的 NIT Hamirpur BTech 学生构建。
## 🏗️ 实验架构
**环境概览:**
| Machine | OS | Role | IP |
|---|---|---|---|
| Kali-Attacker | Kali Linux | Attacker | 192.168.56.5 |
| Ubuntu-Victim | Ubuntu Server 22.04 | Linux Target | 192.168.56.20 |
| DC01-Server | Windows Server 2022 | Domain Controller (SOC.LAB) | 192.168.10.10 |
| WS01-Client | Windows 10 | Domain Workstation 1 | 192.168.56.30 |
| WS02-Client | Windows 11 | Domain Workstation 2 | 192.168.56.31 |
| Wazuh-SIEM | Ubuntu Server 22.04 | SIEM / XDR | 192.168.56.100 |
**Active Directory 域:** `SOC.LAB`
## ⚙️ 使用的 SIEM 平台
| Platform | Purpose |
|---|---|
| **Wazuh 4.7** | 主 SIEM + XDR + 主动响应 |
| **Microsoft Sentinel** | 云 SIEM — KQL 查询和工作簿 |
| **Splunk Free** | 日志分析 + SPL 查询 |
## 🔍 调查索引
### Active Directory 攻击
| # | Investigation | MITRE Technique | Status |
|---|---|---|---|
| AD-01 | [AD 枚举 — BloodHound 与 LDAP 侦察](./ActiveDirectory/Incident-AD-01-Enumeration/) | T1069.002, T1087.002 | 🔄 进行中 |
| AD-02 | [Kerberoasting 攻击 + 检测](./ActiveDirectory/Incident-AD-02-Kerberoasting/) | T1558.003 | 🔄 进行中 |
| AD-03 | [AS-REP Roasting](./ActiveDirectory/Incident-AD-03-ASREPRoasting/) | T1558.004 | ⏳ 即将推出 |
| AD-04 | [Pass-the-Hash + 横向移动](./ActiveDirectory/Incident-AD-04-PassTheHash/) | T1550.002 | ⏳ 即将推出 |
| AD-KC | [完整 AD Kill Chain 报告](./ActiveDirectory/Incident-AD-KillChain/) | 多项 | ⏳ 即将推出 |
### Linux 事件调查
| # | Investigation | MITRE Technique | Status |
|---|---|---|---|
| 01 | [端口扫描检测](./Linux-Incidents/Incident-01-PortScan/) | T1046 | ⏳ 即将推出 |
| 02 | [SSH 暴力破解](./Linux-Incidents/Incident-02-SSHBruteForce/) | T1110.001 | ⏳ 即将推出 |
| 03 | [Web 目录枚举](./Linux-Incidents/Incident-03-WebEnumeration/) | T1083 | ⏳ 即将推出 |
| 04 | [Web 漏洞扫描](./Linux-Incidents/Incident-04-WebVulnScan/) | T1595.002 | ⏳ 即将推出 |
| 05 | [反向 Shell 攻击](./Linux-Incidents/Incident-05-ReverseShell/) | T1059.004 | ⏳ 即将推出 |
| 06 | [凭证嗅探](./Linux-Incidents/Incident-06-CredSniffing/) | T1040 | ⏳ 即将推出 |
| 07 | [权限提升 — SUID/Cron](./Linux-Incidents/Incident-07-PrivEsc/) | T1548.001, T1053.003 | ⏳ 即将推出 |
| 08 | [数据渗出](./Linux-Incidents/Incident-08-DataExfil/) | T1048, T1041 | ⏳ 即将推出 |
### 威胁狩猎
| # | Exercise | APT Group | Status |
|---|---|---|---|
| TH-01 | [APT 模拟 — TTP 狩猎](./ThreatHunting/) | APT29 / Lazarus | ⏳ 即将推出 |
## 🛠️ 展示技能
| Category | Skills |
|---|---|
| **SIEM** | Wazuh, Microsoft Sentinel, Splunk |
| **查询语言** | KQL (Sentinel), SPL (Splunk), Wazuh 规则 |
| **检测工程** | Sigma 规则, YARA 规则, 自定义 Wazuh 规则 |
| **网络分析** | Wireshark, tcpdump, pcap 分析 |
| **Active Directory** | AD 攻击, GPO, Kerberos, BloodHound |
| **攻击工具** | Nmap, Hydra, Gobuster, Nikto, Metasploit, Impacket |
| **框架** | MITRE ATT&CK, NIST 事件响应 |
| **脚本** | Python (IOC 富化, 告警通知), Bash |
| **威胁情报** | VirusTotal API, AbuseIPDB API |
## 📁 仓库结构
```
SOC-Incident-Lab/
├── README.md
├── Architecture/
│ ├── lab-diagram.png # Full lab topology diagram
│ └── mitre-navigator-layer.json
├── ActiveDirectory/
│ ├── Incident-AD-01-Enumeration/
│ ├── Incident-AD-02-Kerberoasting/
│ ├── Incident-AD-03-ASREPRoasting/
│ ├── Incident-AD-04-PassTheHash/
│ └── Incident-AD-KillChain/
├── Linux-Incidents/
│ ├── Incident-01-PortScan/
│ ├── Incident-02-SSHBruteForce/
│ ├── Incident-03-WebEnumeration/
│ ├── Incident-04-WebVulnScan/
│ ├── Incident-05-ReverseShell/
│ ├── Incident-06-CredSniffing/
│ ├── Incident-07-PrivEsc/
│ └── Incident-08-DataExfil/
├── ThreatHunting/
├── rules/
│ ├── sigma/
│ │ ├── linux/
│ │ └── ad/
│ ├── yara/
│ └── wazuh/
└── scripts/
├── ioc_enrichment.py
├── alert_notifier.py
├── noise_generator.sh
└── kql-queries.txt
```
## 📋 事件报告格式
每项调查均使用 **NIST IR Framework** 进行记录:
1. 执行摘要
2. 事件时间线
3. 攻击方法论 (MITRE ATT&CK)
4. 日志证据
5. 网络证据 (pcap 分析)
6. IOC 表
7. 根本原因
8. 影响评估
9. 建议
10. 经验教训
## 🎯 MITRE ATT&CK 覆盖范围
所有调查涵盖的技术:
`T1046` `T1110.001` `T1083` `T1595.002` `T1059.004` `T1071` `T1040` `T1548.001` `T1053.003` `T1048` `T1041` `T1069.002` `T1087.002` `T1558.003` `T1558.004` `T1550.002` `T1021.002` `T1059.001` `T1078`
## 🔧 工具与资源
| Category | Tool | Purpose |
|---|---|---|
| SIEM | Wazuh 4.7 | 主 SIEM + XDR + 主动响应 |
| SIEM | Microsoft Sentinel | 云 SIEM + KQL 查询 |
| SIEM | Splunk Free | 日志分析 + SPL 查询 |
| Network | Wireshark | 数据包捕获与分析 |
| Attack | Nmap | 端口扫描 |
| Attack | Hydra | 暴力破解攻击 |
| Attack | Gobuster | Web 目录枚举 |
| Attack | Metasploit | 漏洞利用框架 |
| Attack | Impacket | AD 攻击工具包 |
| AD | BloodHound | AD 攻击路径映射 |
| Detection | Sigma | 通用检测规则格式 |
| Detection | YARA | 基于文件和模式的检测 |
| Intel | VirusTotal API | IP/哈希声誉 |
| Intel | AbuseIPDB API | IP 滥用查询 |
| Framework | MITRE ATT&CK | TTP 映射 |
| Diagram | draw.io | 架构图 |
## 👤 关于我
**NIT Hamirpur** 的 BTech 学生(电气工程),正在积极为网络安全职业生涯构建技能——从蓝队 / SOC 运营开始。
- 📜 Google Cybersecurity Certificate (Coursera)
- 🔐 TryHackMe SOC Level 1 (进行中)
- 🎯 目标职位:印度的 SOC 分析师实习
📬 在 [LinkedIn] (https://www.linkedin.com/in/shakshi-sona-84a398324/) 上与我联系
*此实验室正在积极构建中。会定期添加新的调查和检测规则。*
标签:AMSI绕过, asyncio, ATT&CK 框架, BurpSuite集成, Kerberoasting, KQL, Microsoft Sentinel, NIST 事件响应, SOC 家庭实验室, SPL, Wazuh, Windows Server, 威胁检测, 安全规则编写, 安全运营中心, 应用安全, 活动目录攻击, 漏洞模拟, 网络安全, 网络映射, 蓝队演练, 逆向工具, 防御战术, 隐私保护, 黄金票据