raghava8/soc-home-lab

# 🛡️ SOC 家庭实验室 一个全面的安全运营中心（SOC）家庭实验室环境，用于学习、检测工程和事件响应实践。 ## 📁 仓库结构 ``` soc-home-lab/ ├── detection-rules/ │ ├── sigma/ # Sigma detection rules │ └── yara/ # YARA malware signatures ├── playbooks/ # Incident response playbooks ├── scripts/ │ ├── setup/ # Lab environment setup scripts │ └── monitoring/ # Log collection & monitoring scripts ├── logs/ │ └── samples/ # Sample log datasets for practice └── README.md ``` ## 🚀 快速开始 ### 前置条件 - 虚拟机管理程序：VirtualBox（免费）或 VMware Workstation - 至少 16GB 内存，100GB 磁盘空间 - 推荐使用 Linux 主机（Ubuntu 22.04+） ### 1. 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/soc-home-lab.git cd soc-home-lab ``` ### 2. 运行安装脚本 ``` chmod +x scripts/setup/install_lab.sh sudo ./scripts/setup/install_lab.sh ``` ### 3. 开始监控 ``` chmod +x scripts/monitoring/start_monitoring.sh sudo ./scripts/monitoring/start_monitoring.sh ``` ## 🧱 实验室组件 | 组件 | 用途 | 默认端口 | |-----------|---------|-------------| | **Wazuh SIEM** | 日志采集与告警 | 5601 | | **Elastic Stack** | 搜索与仪表板 | 9200 / 5601 | | **Suricata** | 网络入侵检测系统 | - | | **TheHive** | 案例管理 | 9000 | | **Cortex** | 威胁情报 | 9001 | | **MISP** | IOC 共享 | 443 | ## 📚 学习资源 - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [Sigma 规则仓库](https://github.com/SigmaHQ/sigma) - [YARA 文档](https://yara.readthedocs.io/) - [Elastic SIEM 指南](https://www.elastic.co/guide/en/security/current/index.html) ## 📂 内容 ### 检测规则 - **Sigma**：与平台无关的检测规则，可转换为 Splunk、Elastic、QRadar 等格式 - **YARA**：用于恶意软件识别的二进制模式匹配规则 ### 剧本 常见攻击场景的分步事件响应指南： - 网络钓鱼调查 - 勒索软件响应 - 暴力破解检测 - 横向移动分析 ### 脚本 - **安装**：SIEM、IDS 和支持工具的自动化安装 - **监控**：日志采集代理和告警脚本 ### 示例日志 用于检测规则测试和分析师培训的逼真日志数据集。 ## ⚠️ 免责声明 此实验室仅供**学习目的**使用。仅在隔离环境中部署。切勿将这些技术用于您不拥有或未获得明确测试许可的系统。 ## 📜 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。

标签：AMSI绕过, CIDR查询, Cloudflare, Cortex, Elasticsearch, Elastic Stack, IOC, Metaprompt, MITRE ATT&CK, MIT许可证, SIEM部署, Suricata, TheHive, Wazuh, YARA, 云资产可视化, 参数枚举, 威胁情报, 威胁检测, 安全学习, 安全实验室, 安全运营中心, 居家实验室, 应用安全, 开发者工具, 数字取证, 流量重放, 现代安全运营, 网络映射, 自动化脚本, 逆向工具, 防御性安全