piitre400/SOC-Lab-Zero

# SOC Lab Zero ## Sobre este proyecto SOC Lab Zero es un laboratorio de seguridad ofensiva y defensiva construido desde cero en una laptop personal. El objetivo fue simular un entorno empresarial realista con segmentación de red, SIEM, agentes de endpoint, IDS y gestión de casos — y ejecutar sobre él los ataques más comunes que enfrenta un analista SOC junior en su día a día. Cada escenario sigue el ciclo completo: el ataque se ejecuta desde Kali Linux, los agentes Wazuh lo detectan, las alertas se mapean automáticamente a MITRE ATT&CK, y el caso llega a TheHive para su gestión como incidente. **Autor:** Manuel Fernandez **Rol objetivo:** Junior SOC Analyst **Certificaciones:** CCNA · CyberOps Associate · DevNet Associate · Network Security ## Topología del laboratorio ``` ┌─────────────────────────────────────────┐ │ pfSense 2.8.1 │ │ Firewall / Router / IDS │ │ Suricata ETOpen + AbuseCH │ └──────┬──────────┬──────────┬────────────┘ │ │ │ ┌────────────▼──┐ ┌────▼──────────▼────┐ ┌──────────────┐ │ VMnet1 (SOC) │ │ VMnet2 (Servers) │ │ VMnet3 (ATK) │ │ 192.168.10/24 │ │ 192.168.20.0/24 │ │192.168.30/24 │ └──┬────────┬───┘ └──┬──────────────┬──┘ └──────┬───────┘ │ │ │ │ │ ┌──────▼─┐ ┌────▼──┐ ┌───▼────┐ ┌─────▼──────┐ ┌───▼────┐ │ Wazuh │ │TheHive│ │Ubuntu │ │ Windows 10 │ │ Kali │ │4.14.4 │ │5.6.2 │ │Server │ │ Victim │ │ Linux │ │.10.10 │ │.10.20 │ │.20.20 │ │ .20.101 │ │.30.101 │ └────────┘ └───────┘ └────────┘ └────────────┘ └────────┘ ``` | VM | IP | Rol | Herramientas | |---|---|---|---| | pfSense 2.8.1 | 192.168.10.1 | Firewall / Router | Suricata, ETOpen, Feodo Tracker | | Wazuh 4.14.4 | 192.168.10.10 | SIEM / Manager | OpenSearch, Dashboard | | TheHive 5.6.2 | 192.168.10.20 | Case Management | Cassandra, Platinum Trial | | Ubuntu Server 22.04 | 192.168.20.20 | Víctima Linux | Wazuh Agent, auditd (29 reglas) | | Windows 10 Victim | 192.168.20.101 | Víctima Windows | Wazuh Agent, Sysmon v15 | | Kali Linux 2026.1 | 192.168.30.101 | Atacante | Hydra, Nmap, Metasploit | ## Stack de detección | Componente | Función | |---|---| | Wazuh Agent (Linux) | Recolecta eventos de auditd, syslog, auth.log | | Wazuh Agent (Windows) | Recolecta eventos de Sysmon y Windows Event Log | | Wazuh Manager | Correlaciona, aplica reglas, mapea MITRE ATT&CK | | Suricata (pfSense) | IDS en capa de red, reglas ETOpen + AbuseCH | | TheHive | Gestión de casos, alertas automáticas vía integración custom | ## Escenarios ejecutados | # | Técnica MITRE | Nombre | Plataforma | Estado | |---|---|---|---|---| | 01 | T1110.001 | SSH Brute Force | Linux | ✅ Completado | | 02 | T1046 | Network Service Discovery | Linux / Windows | ✅ Completado | | 03 | T1059 | Command and Scripting Interpreter | Linux + Windows | ✅ Completado | | 04 | T1053 | Scheduled Task / Job | Linux + Windows | ✅ Completado | | 05 | T1070 | Indicator Removal | Linux + Windows | ✅ Completado | | 06 | T1565 | Data Manipulation | Linux | ✅ Completado | ## Métricas del lab - **6** escenarios MITRE ATT&CK ejecutados y detectados - **500+** alertas generadas en TheHive - **12** reglas custom de Wazuh creadas - **4** redes virtuales segmentadas - **2** agentes Wazuh activos (Linux + Windows) - **1** integración custom Wazuh → TheHive desarrollada desde cero ## Integraciones desarrolladas ### custom-thehive (Python) Script de integración entre Wazuh Manager y TheHive 5.x desarrollado desde cero — el script nativo de Wazuh no existe para esta versión. Recibe alertas de nivel 7+ del manager y las convierte en alertas de TheHive con mapeo MITRE automático. Ver: [`00-lab-setup/tools-stack.md`](00-lab-setup/tools-stack.md) ### Reglas custom MITRE 12 reglas personalizadas para detectar técnicas específicas no cubiertas por las reglas por defecto de Wazuh: - `100011` — Nmap SSH scan (T1046) - `100022` — Suspicious sudo recon commands (T1059.004) - `100030` — Scheduled task via T1053 RuleName (T1053.005) - `100031` — schtasks.exe execution (T1053.005) - `100032` — Crontab modified (T1053.003) - `100040` — Log file tampering (T1070.002) - `100041` — Command history cleared (T1070.003) Ver: [`00-lab-setup/custom-rules.md`](00-lab-setup/custom-rules.md) ## Estructura del repositorio ``` SOC-Lab-Zero/ ├── README.md ← este archivo ├── 00-lab-setup/ │ ├── topology.md ← topología detallada │ ├── tools-stack.md ← configuración de cada herramienta │ └── custom-rules.md ← todas las reglas Wazuh custom ├── 01-T1110-brute-force/ │ ├── README.md ← descripción del escenario │ ├── attack.md ← comandos del ataque │ ├── detection.md ← evidencia de detección │ └── screenshots/ ├── 02-T1046-network-scan/ ├── 03-T1059-scripting/ ├── 04-T1053-scheduled-task/ ├── 05-T1070-indicator-removal/ └── 06-T1565-data-manipulation/ ``` ## Conocimientos demostrados - Configuración de firewall perimetral (pfSense) con segmentación de red por zonas de seguridad - Despliegue y administración de SIEM (Wazuh 4.x) en entorno virtualizado - Desarrollo de integraciones Python para automatización de respuesta a incidentes - Escritura de reglas de detección custom mapeadas a MITRE ATT&CK - Ejecución controlada de técnicas de ataque reales (Hydra, Nmap, scripts bash/PowerShell) - Gestión de casos de incidentes en TheHive 5.x - Análysis de logs de auditd, Sysmon, Windows Event Log y syslog *Construido con VMware Workstation 17 — 32GB RAM — Arequipa, Perú — 2026*

标签：AMSI绕过, Arequipa, CCNA, CIDR查询, Cloudflare, CyberOps Associate, DevNet Associate, Home Lab, Metaprompt, MITRE ATT&CK, pfSense, Redis利用, SOC入门, SOC实验室, Suricata, Sysmon, TGT, TheHive, Wazuh, 威胁检测, 安全演练, 安全运营中心, 攻防演练, 数字取证, 日志采集, 流量捕获, 现代安全运营, 秘鲁, 端点检测, 网络分段, 网络安全, 网络拓扑, 网络映射, 自动化脚本, 虚拟化, 逆向工具, 隐私保护