Vincentius2004/soc-home-lab
GitHub: Vincentius2004/soc-home-lab
一个基于 Wazuh SIEM 模拟 SOC 的实验项目,帮助学习日志分析、威胁检测与事件响应。
Stars: 1 | Forks: 0
# soc-home-lab
一个使用 SIEM 监控 DVWA 的安全运营中心 (SOC) 模拟实验室。包含攻击场景(SQLi、XSS、暴力破解),并展示了日志分析、威胁检测和事件响应工作流。
# 🛡️ SOC 家庭实验室 — 攻击检测与事件响应
## 概述
本项目是一个 SOC(安全运营中心)家庭实验室模拟,旨在
学习如何检测和响应网络攻击。
## 实验室架构
| 虚拟机 | IP | 角色 |
|---|---|---|
| Wazuh SIEM | 192.168.217.128 | Manager + Indexer + Dashboard |
| Ubuntu Target | 192.168.217.130 | 受害者机器 + DVWA |
| Kali Linux | 192.168.217.129 | 攻击者机器 |
## 技术栈
- **SIEM**: Wazuh v4.14
- **IDS/IPS**: Suricata v6.0.4
- **漏洞应用**: DVWA (Damn Vulnerable Web Application)
- **Web 服务器**: Apache2 + Nginx
- **操作系统监控**: Auditd
- **攻击工具**: Hydra, hping3, nmap, curl
## 模拟攻击场景
| # | 攻击 | 网络层 | 工具 | 规则 ID |
|---|---|---|---|---|
| 1 | SQL 注入 | 7 | curl | 100011 |
| 2 | XSS | 7 | curl | 100012 |
| 3 | 命令注入 | 7 | curl | 100013 |
| 4 | 目录遍历 | 7 | curl | 100015 |
| 5 | Webshell 文件上传 | 7 | curl | 100053 |
| 6 | 反向 Shell | 7 | nc | 100050 |
| 7 | SSH 暴力破解 | 4 | hydra | 5551 |
| 8 | Nmap 侦察 | 3 | nmap | 86601 |
| 9 | DDoS SYN Flood | 4 | hping3 | 86601 |
## 仓库结构
\`\`\`
soc-home-lab/
├── 01-infrastructure/ # 实验室设置与配置
├── 02-wazuh-rules/ # 自定义检测规则
├── 03-attack-simulations/ # 每次攻击的文档
├── 04-detection-evidence/ # 检测证据截图
├── 05-suricata/ # Suricata IDS 配置
├── 06-incident-response/ # 主动响应与 IR 报告
└── docs/ # 额外文档
\`\`\`
## MITRE ATT&CK 覆盖范围
- T1190 — Exploit Public-Facing Application
- T1059 — Command and Scripting Interpreter
- T1505.003 — Web Shell
- T1110 — Brute Force
- T1046 — Network Service Scanning
- T1499 — Endpoint Denial of Service
标签:CISA项目, OPA, SIEM, 入侵检测, 安全运营, 扫描框架, 插件系统, 日志分析, 蓝队, 靶场