piitre400/SOC-Lab-Zero
GitHub: piitre400/SOC-Lab-Zero
一个基于个人笔记本的完整 SOC 攻防实验室,集成多款开源工具并定制规则与告警,演示从攻击到检测与案例管理的完整流程。
Stars: 0 | Forks: 0
# SOC Lab Zero
## 关于本项目
SOC Lab Zero 是一个在个人笔记本电脑上从零开始构建的攻防安全实验室。其目标是模拟具有网络分段、SIEM、endpoint agent、IDS 和案例管理的真实企业环境——并在其上执行初级 SOC 分析师日常工作中面临的最常见攻击。
每个场景都遵循完整的周期:攻击从 Kali Linux 发起,Wazuh agent 进行检测,告警自动映射到 MITRE ATT&CK,最后案例传送到 TheHive 作为安全事件进行管理。
**作者:** Manuel Fernandez
**目标职位:** Junior SOC Analyst
**认证:** CCNA · CyberOps Associate · DevNet Associate · Network Security
## 实验室拓扑
```
┌─────────────────────────────────────────┐
│ pfSense 2.8.1 │
│ Firewall / Router / IDS │
│ Suricata ETOpen + AbuseCH │
└──────┬──────────┬──────────┬────────────┘
│ │ │
┌────────────▼──┐ ┌────▼──────────▼────┐ ┌──────────────┐
│ VMnet1 (SOC) │ │ VMnet2 (Servers) │ │ VMnet3 (ATK) │
│ 192.168.10/24 │ │ 192.168.20.0/24 │ │192.168.30/24 │
└──┬────────┬───┘ └──┬──────────────┬──┘ └──────┬───────┘
│ │ │ │ │
┌──────▼─┐ ┌────▼──┐ ┌───▼────┐ ┌─────▼──────┐ ┌───▼────┐
│ Wazuh │ │TheHive│ │Ubuntu │ │ Windows 10 │ │ Kali │
│4.14.4 │ │5.6.2 │ │Server │ │ Victim │ │ Linux │
│.10.10 │ │.10.20 │ │.20.20 │ │ .20.101 │ │.30.101 │
└────────┘ └───────┘ └────────┘ └────────────┘ └────────┘
```
| 虚拟机 (VM) | IP | 角色 | 工具 |
|---|---|---|---|
| pfSense 2.8.1 | 192.168.10.1 | Firewall / Router | Suricata, ETOpen, Feodo Tracker |
| Wazuh 4.14.4 | 192.168.10.10 | SIEM / Manager | OpenSearch, Dashboard |
| TheHive 5.6.2 | 192.168.20.20 | 案例管理 | Cassandra, Platinum Trial |
| Ubuntu Server 22.04 | 192.168.20.20 | Linux 受害机 | Wazuh Agent, auditd (29 条规则) |
| Windows 10 Victim | 192.168.20.101 | Windows 受害机 | Wazuh Agent, Sysmon v15 |
| Kali Linux 2026.1 | 192.168.30.101 | 攻击者 | Hydra, Nmap, Metasploit |
## 检测技术栈
| 组件 | 功能 |
|---|---|
| Wazuh Agent (Linux) | 收集来自 auditd、syslog、auth.log 的事件 |
| Wazuh Agent (Windows) | 收集来自 Sysmon 和 Windows Event Log 的事件 |
| Wazuh Manager | 进行关联、应用规则、映射 MITRE ATT&CK |
| Suricata (pfSense) | 网络层 IDS,应用 ETOpen + AbuseCH 规则 |
| TheHive | 案例管理,通过 custom 集成实现自动告警 |
## 执行场景
| # | MITRE 技术 | 名称 | 平台 | 状态 |
|---|---|---|---|---|
| 01 | T1110.001 | SSH Brute Force | Linux | ✅ 已完成 |
| 02 | T1046 | Network Service Discovery | Linux / Windows | ✅ 已完成 |
| 03 | T1059 | Command and Scripting Interpreter | Linux + Windows | ✅ 已完成 |
| 04 | T1053 | Scheduled Task / Job | Linux + Windows | ✅ 已完成 |
| 05 | T1070 | Indicator Removal | Linux + Windows | ✅ 已完成 |
| 06 | T1565 | Data Manipulation | Linux | ✅ 已完成 |
## 实验室度量指标
- 执行并检测了 **6** 个 MITRE ATT&CK 场景
- 在 TheHive 中生成了 **500+** 条告警
- 创建了 **12** 条 Wazuh custom 规则
- **4** 个分段的虚拟网络
- **2** 个处于活跃状态的 Wazuh agent(Linux + Windows)
- 从零开始开发了 **1** 个 Wazuh → TheHive 的 custom 集成
## 已开发的集成
### custom-thehive (Python)
从零开发的 Wazuh Manager 与 TheHive 5.x 之间的集成脚本——因为 Wazuh 原生的脚本并不适用于此版本。它接收来自 manager 的 7 级及以上告警,并将其转换为带有自动 MITRE 映射的 TheHive 告警。
详见:[`00-lab-setup/tools-stack.md`](00-lab-setup/tools-stack.md)
### MITRE custom 规则
用于检测 Wazuh 默认规则未涵盖的特定技术的 12 条自定义规则:
- `100011` — Nmap SSH scan (T1046)
- `100022` — Suspicious sudo recon commands (T1059.004)
- `100030` — Scheduled task via T1053 RuleName (T1053.005)
- `100031` — schtasks.exe execution (T1053.005)
- `100032` — Crontab modified (T1053.003)
- `100040` — Log file tampering (T1070.002)
- `100041` — Command history cleared (T1070.003)
详见:[`00-lab-setup/custom-rules.md`](00-lab-setup/custom-rules.md)
## 仓库结构
```
SOC-Lab-Zero/
├── README.md ← este archivo
├── 00-lab-setup/
│ ├── topology.md ← topología detallada
│ ├── tools-stack.md ← configuración de cada herramienta
│ └── custom-rules.md ← todas las reglas Wazuh custom
├── 01-T1110-brute-force/
│ ├── README.md ← descripción del escenario
│ ├── attack.md ← comandos del ataque
│ ├── detection.md ← evidencia de detección
│ └── screenshots/
├── 02-T1046-network-scan/
├── 03-T1059-scripting/
├── 04-T1053-scheduled-task/
├── 05-T1070-indicator-removal/
└── 06-T1565-data-manipulation/
```
## 展示的技能
- 边界防火墙 (pfSense) 配置及基于安全区域的网络分段
- 在虚拟化环境中部署和管理 SIEM (Wazuh 4.x)
- 开发 Python 集成以实现事件响应自动化
- 编写映射到 MITRE ATT&CK 的 custom 检测规则
- 受控执行真实的攻击技术(Hydra、Nmap、bash/PowerShell 脚本)
- 在 TheHive 5.x 中进行安全事件案例管理
- 分析来自 auditd、Sysmon、Windows Event Log 和 syslog 的日志
*使用 VMware Workstation 17 搭建 — 32GB 内存 — 秘鲁阿雷基帕 — 2026*
标签:IP 地址批量处理, SIEM, SOC分析, Wazuh, 入侵检测, 威胁狩猎, 安全实验室, 网络流量分析