Reynaldo8509/soc-operations-lab

# 🛡️ SOC 家庭实验室 — 威胁检测与事件响应 一个动手实践的安全运营中心（SOC）实验室环境，用于模拟真实的威胁检测、日志分析和事件响应工作流程。 ## 🎯 目标 * 在受控环境中模拟蓝队操作 * 练习告警分级、调查与事件响应（Tier 1 / Tier 2） * 基于真实攻击技术（MITRE ATT&CK）构建检测规则 * 获得企业级安全工具的实践经验 ## 🏗️ 实验室架构 ``` [Kali Linux - Attacker] │ │ Simulated attacks (brute force, enumeration) ▼ [Windows 10 Endpoint] - Sysmon (telemetry) - Wazuh Agent (log forwarding) │ ▼ [Wazuh Manager - SIEM] - Log collection & correlation - Alert generation │ ▼ [SOC Analyst] ``` ## 🧰 工具与技术 * Wazuh（SIEM） * Sysmon（端点遥测） * Windows 10 * Kali Linux * VirtualBox ## 📁 仓库结构 ``` soc-operations-lab/ │ ├── README.md ├── LICENSE ├── architecture/ ├── wazuh/ ├── sysmon/ ├── detection-rules/ ├── incident-response/ ├── evidence/ ``` ## 🔍 检测用例 * 暴力破解登录检测（T1110） * 权限提升（进行中） * 可疑的 PowerShell（进行中） ## 📊 模拟的 SOC 工作流 1. 从 Kali 发起攻击 2. 在 Windows 生成日志（事件 ID 4625） 3. 日志发送至 Wazuh 4. 生成告警 5. 分级（Tier 1） 6. 调查（Tier 2） 7. 响应操作 ## 🧠 展示的技能 * SIEM 监控（Wazuh） * 日志分析（Windows 事件） * 检测工程 * 事件响应工作流程 * MITRE ATT&CK 使用 ## 📌 关键事件 ID * 4625 → 登录失败 * 4624 → 登录成功 * 4672 → 特权登录 * 4688 → 进程创建 ## 🚀 实验室搭建（摘要） * 3 台虚拟机：Kali、Windows 10、Wazuh * 已安装 Sysmon * Wazuh 代理已连接 * 检测规则已配置 ## 📸 证据（即将推出） 本部分将包含： * Wazuh 告警截图 * 暴力破解日志 * 调查过程 ## 📄 许可证 MIT License — © 2026 Reynaldo Amado Rodríguez González

标签：AMSI绕过, BurpSuite集成, Cloudflare, MITRE ATT&CK, PB级数据处理, Sysmon, T1059, T1078, T1083, T1110, VirtualBox, Wazuh, Windows 10, 事件调查, 企业安全, 告警分析, 威胁检测, 安全演练, 安全运维, 安全运营中心, 日志收集, 检测规则, 生成式AI安全, 端点监控, 网络安全审计, 网络映射, 网络资产发现, 网络资产管理, 虚拟机, 速率限制