its-me-anvesh-var/soc-home-lab

# 🛡️ SOC 家庭实验室 一个使用开源工具构建的完整功能安全运营中心（SOC）家庭实验室 — Wazuh、Splunk 和 Suricata，附带 MITRE ATT&CK 映射的检测规则、事件响应剧本以及自动化告警分级流程。 ## 🏗️ 实验室架构 ``` ┌─────────────────────────────────────────────────────┐ │ SOC HOME LAB │ │ │ │ ┌─────────────┐ ┌──────────────────────────┐ │ │ │ Kali Linux │ │ Wazuh Manager │ │ │ │ Attacker │─────▶│ (SIEM + HIDS) │ │ │ └─────────────┘ │ Ubuntu 22.04 │ │ │ └──────────┬───────────────┘ │ │ ┌─────────────┐ │ │ │ │ Windows 11 │◀────────────────┤ │ │ │ Victim Host │ Wazuh Agent │ │ │ └─────────────┘ │ │ │ ┌──────────▼───────────────┐ │ │ ┌─────────────┐ │ Splunk Enterprise │ │ │ │ Ubuntu 22 │─────▶│ (Log Analysis + Alerts) │ │ │ │ Web Server │ └──────────────────────────┘ │ │ └─────────────┘ │ └─────────────────────────────────────────────────────┘ ``` ## 🛠️ 所用工具 | 工具 | 角色 | 版本 | |---|---|---| | Wazuh | SIEM / HIDS / FIM | 4.7 | | Splunk | 日志分析 / 仪表板 | 企业试用版 | | Suricata | 网络入侵检测 | 7.x | | VirtualBox | 虚拟机监控程序 | 7.x | | Kali Linux | 攻击模拟 | 2024.x | | Windows 11 | 受害端点 | — | | Ubuntu 22.04 | Wazuh 管理器 + Web 服务器 | — | ## 📂 仓库结构 ``` soc-home-lab/ ├── README.md ├── setup/ │ ├── wazuh-install.md # Wazuh manager setup guide │ ├── splunk-install.md # Splunk install + config │ ├── suricata-install.md # Suricata IDS setup │ └── network-config.md # Lab network configuration ├── detection-rules/ │ ├── splunk/ │ │ ├── brute-force.spl # Brute force detection │ │ ├── data-exfiltration.spl # Large outbound transfer alert │ │ ├── after-hours-login.spl # Off-hours admin login │ │ └── powershell-abuse.spl # Malicious PowerShell detection │ └── wazuh/ │ ├── custom-rules.xml # Custom Wazuh detection rules │ └── decoder.xml # Custom log decoders ├── playbooks/ │ ├── phishing-response.md # Phishing incident playbook │ ├── ransomware-response.md # Ransomware incident playbook │ └── brute-force-response.md # Brute force response steps ├── mitre-mappings/ │ └── lab-coverage.md # MITRE ATT&CK coverage map └── screenshots/ └── (add your dashboard screenshots here) ``` ## ⚙️ 快速搭建指南 ### 前置条件 - 已安装 VirtualBox 7.x - 最低 16GB 内存 - 200GB 可用磁盘空间 - 用于软件下载的互联网连接 ### 步骤 1 — 网络配置 在 VirtualBox 中创建仅主机网络： ``` File → Host Network Manager → Create IPv4: 192.168.56.1 Mask: 255.255.255.0 DHCP: Enabled ``` ### 步骤 2 — 部署 Wazuh 管理器（Ubuntu 22.04） ``` # 更新系统 sudo apt update && sudo apt upgrade -y # 安装 Wazuh（单节点部署） curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash wazuh-install.sh -a # 访问仪表板 # https://localhost（安装输出中的默认凭据） ``` ### 步骤 3 — 部署 Wazuh 代理（Windows 11） ``` # 从 Wazuh 仪表板下载代理 MSI # Manager IP: 192.168.56.10 # 运行安装程序并注册到 Manager ``` ### 步骤 4 — 部署 Splunk ``` # 从 splunk.com 下载 Splunk Enterprise 试用版 tar -xvzf splunk-*.tgz -C /opt sudo /opt/splunk/bin/splunk start --accept-license # 访问：http://localhost:8000 ``` ## 🎯 检测规则 ### MITRE ATT&CK 覆盖范围 | 战术 | 技术 | 检测规则 | 状态 | |---|---|---|---| | 初始访问 | T1566 钓鱼 | 邮件网关 + Wazuh | ✅ | | 执行 | T1059 PowerShell | powershell-abuse.spl | ✅ | | 持久化 | T1136 创建账户 | custom-rules.xml | ✅ | | 凭证访问 | T1110 暴力破解 | brute-force.spl | ✅ | | 横向移动 | T1021 远程服务 | custom-rules.xml | ✅ | | 渗出 | T1041 C2 渗出 | data-exfiltration.spl | ✅ | | 发现 | T1082 系统信息 | Wazuh FIM | ✅ | | 防御绕过 | T1562 禁用工具 | custom-rules.xml | ✅ | ## 📖 事件响应剧本 - [钓鱼响应](playbooks/phishing-response.md) - [勒索软件响应](playbooks/ransomware-response.md) - [暴力破解响应](playbooks/brute-force-response.md) ## 📊 攻击模拟运行 | 模拟 | 所用工具 | 触发的告警 | |---|---|---| | SSH 暴力破解 | Hydra | ✅ 是 | | PowerShell 反向 Shell | Metasploit | ✅ 是 | | 数据渗出 | 自定义脚本 | ✅ 是 | | 新建管理员账户 | 手动 | ✅ 是 | | 通过 RDP 的横向移动 | Metasploit | ✅ 是 | ## 🏅 认证与背景 由 **Anvesh Raju Vishwaraju** 构建 - CompTIA Security+ | eJPTv2 | AWS Cloud Practitioner - 网络安全硕士 — UNC Charlotte, USA - 网络安全与人工智能讲师 — Malla Reddy College 🔗 [领英](https://linkedin.com/in/arv007) | [GitHub](https://github.com/its-me-anvesh-var) ## ⚠️ 免责声明 本实验室仅供教育用途。所有攻击模拟均在隔离环境中进行。切勿在非本人所有或未获明确授权的系统上使用这些技术。

标签：AMSI绕过, Cloudflare, HIDS, Metaprompt, MITRE ATT&CK, Playbook, Suricata, Triage, Wazuh, Windows 11, 告警联动, 威胁检测, 安全运营中心, 家庭实验室, 攻击模拟, 现代安全运营, 网络映射, 自动化响应, 驱动签名利用