piitre400/SOC-Lab-Zero

GitHub: piitre400/SOC-Lab-Zero

一个基于个人笔记本的完整 SOC 攻防实验室,集成多款开源工具并定制规则与告警,演示从攻击到检测与案例管理的完整流程。

Stars: 0 | Forks: 0

# SOC Lab Zero ## 关于本项目 SOC Lab Zero 是一个在个人笔记本电脑上从零开始构建的攻防安全实验室。其目标是模拟具有网络分段、SIEM、endpoint agent、IDS 和案例管理的真实企业环境——并在其上执行初级 SOC 分析师日常工作中面临的最常见攻击。 每个场景都遵循完整的周期:攻击从 Kali Linux 发起,Wazuh agent 进行检测,告警自动映射到 MITRE ATT&CK,最后案例传送到 TheHive 作为安全事件进行管理。 **作者:** Manuel Fernandez **目标职位:** Junior SOC Analyst **认证:** CCNA · CyberOps Associate · DevNet Associate · Network Security ## 实验室拓扑 ``` ┌─────────────────────────────────────────┐ │ pfSense 2.8.1 │ │ Firewall / Router / IDS │ │ Suricata ETOpen + AbuseCH │ └──────┬──────────┬──────────┬────────────┘ │ │ │ ┌────────────▼──┐ ┌────▼──────────▼────┐ ┌──────────────┐ │ VMnet1 (SOC) │ │ VMnet2 (Servers) │ │ VMnet3 (ATK) │ │ 192.168.10/24 │ │ 192.168.20.0/24 │ │192.168.30/24 │ └──┬────────┬───┘ └──┬──────────────┬──┘ └──────┬───────┘ │ │ │ │ │ ┌──────▼─┐ ┌────▼──┐ ┌───▼────┐ ┌─────▼──────┐ ┌───▼────┐ │ Wazuh │ │TheHive│ │Ubuntu │ │ Windows 10 │ │ Kali │ │4.14.4 │ │5.6.2 │ │Server │ │ Victim │ │ Linux │ │.10.10 │ │.10.20 │ │.20.20 │ │ .20.101 │ │.30.101 │ └────────┘ └───────┘ └────────┘ └────────────┘ └────────┘ ``` | 虚拟机 (VM) | IP | 角色 | 工具 | |---|---|---|---| | pfSense 2.8.1 | 192.168.10.1 | Firewall / Router | Suricata, ETOpen, Feodo Tracker | | Wazuh 4.14.4 | 192.168.10.10 | SIEM / Manager | OpenSearch, Dashboard | | TheHive 5.6.2 | 192.168.20.20 | 案例管理 | Cassandra, Platinum Trial | | Ubuntu Server 22.04 | 192.168.20.20 | Linux 受害机 | Wazuh Agent, auditd (29 条规则) | | Windows 10 Victim | 192.168.20.101 | Windows 受害机 | Wazuh Agent, Sysmon v15 | | Kali Linux 2026.1 | 192.168.30.101 | 攻击者 | Hydra, Nmap, Metasploit | ## 检测技术栈 | 组件 | 功能 | |---|---| | Wazuh Agent (Linux) | 收集来自 auditd、syslog、auth.log 的事件 | | Wazuh Agent (Windows) | 收集来自 Sysmon 和 Windows Event Log 的事件 | | Wazuh Manager | 进行关联、应用规则、映射 MITRE ATT&CK | | Suricata (pfSense) | 网络层 IDS,应用 ETOpen + AbuseCH 规则 | | TheHive | 案例管理,通过 custom 集成实现自动告警 | ## 执行场景 | # | MITRE 技术 | 名称 | 平台 | 状态 | |---|---|---|---|---| | 01 | T1110.001 | SSH Brute Force | Linux | ✅ 已完成 | | 02 | T1046 | Network Service Discovery | Linux / Windows | ✅ 已完成 | | 03 | T1059 | Command and Scripting Interpreter | Linux + Windows | ✅ 已完成 | | 04 | T1053 | Scheduled Task / Job | Linux + Windows | ✅ 已完成 | | 05 | T1070 | Indicator Removal | Linux + Windows | ✅ 已完成 | | 06 | T1565 | Data Manipulation | Linux | ✅ 已完成 | ## 实验室度量指标 - 执行并检测了 **6** 个 MITRE ATT&CK 场景 - 在 TheHive 中生成了 **500+** 条告警 - 创建了 **12** 条 Wazuh custom 规则 - **4** 个分段的虚拟网络 - **2** 个处于活跃状态的 Wazuh agent(Linux + Windows) - 从零开始开发了 **1** 个 Wazuh → TheHive 的 custom 集成 ## 已开发的集成 ### custom-thehive (Python) 从零开发的 Wazuh Manager 与 TheHive 5.x 之间的集成脚本——因为 Wazuh 原生的脚本并不适用于此版本。它接收来自 manager 的 7 级及以上告警,并将其转换为带有自动 MITRE 映射的 TheHive 告警。 详见:[`00-lab-setup/tools-stack.md`](00-lab-setup/tools-stack.md) ### MITRE custom 规则 用于检测 Wazuh 默认规则未涵盖的特定技术的 12 条自定义规则: - `100011` — Nmap SSH scan (T1046) - `100022` — Suspicious sudo recon commands (T1059.004) - `100030` — Scheduled task via T1053 RuleName (T1053.005) - `100031` — schtasks.exe execution (T1053.005) - `100032` — Crontab modified (T1053.003) - `100040` — Log file tampering (T1070.002) - `100041` — Command history cleared (T1070.003) 详见:[`00-lab-setup/custom-rules.md`](00-lab-setup/custom-rules.md) ## 仓库结构 ``` SOC-Lab-Zero/ ├── README.md ← este archivo ├── 00-lab-setup/ │ ├── topology.md ← topología detallada │ ├── tools-stack.md ← configuración de cada herramienta │ └── custom-rules.md ← todas las reglas Wazuh custom ├── 01-T1110-brute-force/ │ ├── README.md ← descripción del escenario │ ├── attack.md ← comandos del ataque │ ├── detection.md ← evidencia de detección │ └── screenshots/ ├── 02-T1046-network-scan/ ├── 03-T1059-scripting/ ├── 04-T1053-scheduled-task/ ├── 05-T1070-indicator-removal/ └── 06-T1565-data-manipulation/ ``` ## 展示的技能 - 边界防火墙 (pfSense) 配置及基于安全区域的网络分段 - 在虚拟化环境中部署和管理 SIEM (Wazuh 4.x) - 开发 Python 集成以实现事件响应自动化 - 编写映射到 MITRE ATT&CK 的 custom 检测规则 - 受控执行真实的攻击技术(Hydra、Nmap、bash/PowerShell 脚本) - 在 TheHive 5.x 中进行安全事件案例管理 - 分析来自 auditd、Sysmon、Windows Event Log 和 syslog 的日志 *使用 VMware Workstation 17 搭建 — 32GB 内存 — 秘鲁阿雷基帕 — 2026*
标签:IP 地址批量处理, SIEM, SOC分析, Wazuh, 入侵检测, 威胁狩猎, 安全实验室, 网络流量分析