Vincentius2004/soc-home-lab

GitHub: Vincentius2004/soc-home-lab

一个基于 Wazuh SIEM 模拟 SOC 的实验项目,帮助学习日志分析、威胁检测与事件响应。

Stars: 1 | Forks: 0

# soc-home-lab 一个使用 SIEM 监控 DVWA 的安全运营中心 (SOC) 模拟实验室。包含攻击场景(SQLi、XSS、暴力破解),并展示了日志分析、威胁检测和事件响应工作流。 # 🛡️ SOC 家庭实验室 — 攻击检测与事件响应 ## 概述 本项目是一个 SOC(安全运营中心)家庭实验室模拟,旨在 学习如何检测和响应网络攻击。 ## 实验室架构 | 虚拟机 | IP | 角色 | |---|---|---| | Wazuh SIEM | 192.168.217.128 | Manager + Indexer + Dashboard | | Ubuntu Target | 192.168.217.130 | 受害者机器 + DVWA | | Kali Linux | 192.168.217.129 | 攻击者机器 | ## 技术栈 - **SIEM**: Wazuh v4.14 - **IDS/IPS**: Suricata v6.0.4 - **漏洞应用**: DVWA (Damn Vulnerable Web Application) - **Web 服务器**: Apache2 + Nginx - **操作系统监控**: Auditd - **攻击工具**: Hydra, hping3, nmap, curl ## 模拟攻击场景 | # | 攻击 | 网络层 | 工具 | 规则 ID | |---|---|---|---|---| | 1 | SQL 注入 | 7 | curl | 100011 | | 2 | XSS | 7 | curl | 100012 | | 3 | 命令注入 | 7 | curl | 100013 | | 4 | 目录遍历 | 7 | curl | 100015 | | 5 | Webshell 文件上传 | 7 | curl | 100053 | | 6 | 反向 Shell | 7 | nc | 100050 | | 7 | SSH 暴力破解 | 4 | hydra | 5551 | | 8 | Nmap 侦察 | 3 | nmap | 86601 | | 9 | DDoS SYN Flood | 4 | hping3 | 86601 | ## 仓库结构 \`\`\` soc-home-lab/ ├── 01-infrastructure/ # 实验室设置与配置 ├── 02-wazuh-rules/ # 自定义检测规则 ├── 03-attack-simulations/ # 每次攻击的文档 ├── 04-detection-evidence/ # 检测证据截图 ├── 05-suricata/ # Suricata IDS 配置 ├── 06-incident-response/ # 主动响应与 IR 报告 └── docs/ # 额外文档 \`\`\` ## MITRE ATT&CK 覆盖范围 - T1190 — Exploit Public-Facing Application - T1059 — Command and Scripting Interpreter - T1505.003 — Web Shell - T1110 — Brute Force - T1046 — Network Service Scanning - T1499 — Endpoint Denial of Service
标签:CISA项目, OPA, SIEM, 入侵检测, 安全运营, 扫描框架, 插件系统, 日志分析, 蓝队, 靶场