sandeepmothukuri/soc-lab-free

# 🛡️ 免费 SOC 实验室 — 实时实战项目 [](https://github.com/sandeepmothukuri/soc-lab-free/actions) [](https://cybertechnology.in) [](https://attack.mitre.org) 一个功能完备的安全运营中心 (SOC) 实验室，完全使用**开源和免费工具**构建，与企业级付费安全平台实现 1:1 映射。专为希望获得真实实战经验的高级安全从业者而设计。 ## 🗺️ 工具映射 — 付费与免费对比 | 企业级工具 | 免费替代方案 | 类别 | |---|---|---| | **Nessus** | [Greenbone/OpenVAS](#01-openvas--greenbone) | 漏洞扫描器 | | **Tenable.sc** | [Greenbone Security Manager](#01-openvas--greenbone) | 漏洞管理控制台 | | **Splunk** | [Wazuh + OpenSearch/Kibana](#02-wazuh-siem) | SIEM / XDR / 日志管理 | | **Netskope** | [pfSense + Squid + mitmproxy](#03-pfsense--network-security) | CASB / 网络检测 | | **Mimecast** | [Proxmox Mail Gateway + ClamAV](#04-proxmox-mail-gateway) | 电子邮件安全 | | **Guardstack** | [Lynis + Prowler](#05-lynis--prowler) | 安全态势 / 加固 | ## 🏗️ 实验室架构 ``` ┌─────────────────────────────────────┐ │ SOC ANALYST WORKSTATION │ │ (Kali Linux / Ubuntu Desktop) │ │ Wazuh Dashboard | OpenVAS | Kibana │ └─────────────┬───────────────────────┘ │ ┌─────────────▼───────────────────────┐ │ pfSense FIREWALL │ │ CASB | IDS/IPS | Traffic Inspect │ │ (Replaces Netskope) │ └──┬──────────────────────────────┬───┘ │ │ ┌────────────────▼──────┐ ┌──────────────▼────────────┐ │ MANAGEMENT VLAN │ │ TARGET VLAN │ │ 192.168.10.0/24 │ │ 192.168.30.0/24 │ │ │ │ │ │ ┌─────────────────┐ │ │ ┌─────────────────────┐ │ │ │ Wazuh Server │ │ │ │ Ubuntu 22.04 Target │ │ │ │ (SIEM/XDR) │ │ │ │ + Wazuh Agent │ │ │ │ 192.168.10.10 │ │ │ │ 192.168.30.10 │ │ │ └─────────────────┘ │ │ └─────────────────────┘ │ │ │ │ │ │ ┌─────────────────┐ │ │ ┌─────────────────────┐ │ │ │ OpenVAS/ │ │ │ │ Metasploitable3 │ │ │ │ Greenbone │ │ │ │ (Vuln Target) │ │ │ │ 192.168.10.20 │ │ │ │ 192.168.30.20 │ │ │ └─────────────────┘ │ │ └─────────────────────┘ │ │ │ │ │ │ ┌─────────────────┐ │ │ ┌─────────────────────┐ │ │ │ Proxmox Mail │ │ │ │ Windows Server 2019 │ │ │ │ Gateway │ │ │ │ + Wazuh Agent │ │ │ │ 192.168.10.30 │ │ │ │ 192.168.30.30 │ │ │ └─────────────────┘ │ │ └─────────────────────┘ │ └───────────────────────┘ └────────────────────────────┘ │ ┌──────────────────────────────▼────────────────┐ │ ATTACKER VLAN │ │ 192.168.20.0/24 │ │ ┌──────────────────────────────────────────┐ │ │ │ Kali Linux (Attack Machine) │ │ │ │ 192.168.20.10 │ │ │ └──────────────────────────────────────────┘ │ └────────────────────────────────────────────────┘ ``` ## 🖥️ 虚拟机要求 | 虚拟机 | 操作系统 | 内存 | 硬盘 | IP 地址 | 角色 | |---|---|---|---|---|---| | pfSense | pfSense CE 2.7 | 1 GB | 20 GB | 192.168.10.1 | 防火墙/路由器 | | Wazuh Server | Ubuntu 22.04 LTS | 4 GB | 50 GB | 192.168.10.10 | SIEM/XDR | | OpenVAS | Kali/Ubuntu 22.04 | 4 GB | 50 GB | 192.168.10.20 | 漏洞扫描器 | | Proxmox Mail GW | Debian 11 | 2 GB | 30 GB | 192.168.10.30 | 电子邮件安全 | | Ubuntu Target | Ubuntu 22.04 LTS | 2 GB | 30 GB | 192.168.30.10 | Linux 目标机 | | Metasploitable3 | Ubuntu 14.04 | 2 GB | 30 GB | 192.168.30.20 | 漏洞目标机 | | Windows Target | Windows Server 2019 | 4 GB | 60 GB | 192.168.30.30 | Windows 目标机 | | Kali Linux | Kali 2024 | 2 GB | 40 GB | 192.168.20.10 | 攻击机 | **宿主机最低总内存：21 GB | 推荐：32 GB** ## 📁 仓库结构 ``` soc-lab-free/ ├── README.md # This file ├── docs/ │ ├── network-setup.md # VirtualBox network config │ ├── vm-build-guide.md # VM creation step-by-step │ └── tool-comparison.md # Paid vs Free feature mapping ├── scripts/ │ ├── setup-host.sh # Host machine pre-reqs │ ├── network-setup.sh # VirtualBox network automation │ └── health-check.sh # Verify all services are running ├── 01-openvas/ # Replaces Nessus + Tenable.sc │ ├── README.md │ ├── install-openvas.sh │ ├── configs/ │ │ ├── scan-config-full.xml │ │ ├── scan-config-quick.xml │ │ └── targets.xml │ └── reports/ │ └── report-template.md ├── 02-wazuh-siem/ # Replaces Splunk │ ├── README.md │ ├── install-wazuh-server.sh │ ├── install-wazuh-agent.sh │ ├── configs/ │ │ ├── ossec.conf │ │ └── filebeat.yml │ ├── rules/ │ │ ├── local_rules.xml │ │ └── soc_custom_rules.xml │ └── dashboards/ │ └── soc-overview.ndjson ├── 03-pfsense-network/ # Replaces Netskope │ ├── README.md │ ├── configs/ │ │ ├── pfsense-config.xml │ │ └── squid.conf │ ├── rules/ │ │ └── firewall-rules.md │ └── squid/ │ ├── squid.conf │ └── ssl-bump.conf ├── 04-proxmox-mail/ # Replaces Mimecast │ ├── README.md │ ├── install-pmg.sh │ ├── configs/ │ │ ├── pmg.conf │ │ └── spam-filter.conf │ └── clamav/ │ └── clamd.conf ├── 05-lynis-prowler/ # Replaces Guardstack │ ├── README.md │ ├── run-lynis.sh │ ├── run-prowler.sh │ ├── configs/ │ │ └── lynis.cfg │ └── reports/ │ └── hardening-checklist.md ├── 06-integrations/ # Cross-tool automation │ ├── README.md │ ├── scripts/ │ │ ├── openvas-to-wazuh.py │ │ ├── alert-correlator.py │ │ └── auto-response.sh │ ├── rules/ │ │ └── correlation-rules.xml │ └── playbooks/ │ ├── incident-response.md │ └── threat-hunting.md └── .github/ └── workflows/ └── lab-validation.yml ``` ## 🚀 快速开始（分步指南） ### 第一步 — 准备宿主机 ``` # Clone 此 repo git clone https://github.com/sandeepmothukuri/soc-lab-free.git cd soc-lab-free # 运行 host setup（安装 VirtualBox、dependencies） chmod +x scripts/setup-host.sh sudo ./scripts/setup-host.sh ``` ### 第二步 — 构建网络 ``` # 创建 VirtualBox host-only 网络 chmod +x scripts/network-setup.sh ./scripts/network-setup.sh ``` ### 第三步 — 按顺序部署 ``` # 1. 优先部署 pfSense Firewall（所有 VM 的 gateway） cd 03-pfsense-network && cat README.md # 2. Wazuh SIEM（SOC 的核心） cd ../02-wazuh-siem && sudo ./install-wazuh-server.sh # 3. OpenVAS Vulnerability Scanner cd ../01-openvas && sudo ./install-openvas.sh # 4. Proxmox Mail Gateway cd ../04-proxmox-mail && sudo ./install-pmg.sh # 5. 在所有 targets 上运行 Lynis + Prowler cd ../05-lynis-prowler && sudo ./run-lynis.sh # 6. 连接 integrations cd ../06-integrations && python3 scripts/openvas-to-wazuh.py ``` ### 第四步 — 验证一切运行正常 ``` chmod +x scripts/health-check.sh ./scripts/health-check.sh ``` ## 🎯 实战练习 每个模块都有相应的练习。以下是完整的 SOC 工作流程： | # | 练习 | 使用工具 | MITRE ATT&CK | |---|---|---|---| | 1 | 初始侦察与资产发现 | OpenVAS | TA0043 侦察 | | 2 | 漏洞扫描与优先级排序 | OpenVAS + Wazuh | TA0007 发现 | | 3 | 钓鱼邮件检测 | PMG + ClamAV | T1566 钓鱼 | | 4 | 横向移动检测 | Wazuh 规则 | T1021 远程服务 | | 5 | 权限提升告警 | Wazuh + Lynis | T1068 漏洞利用 | | 6 | 网络异常检测 | pfSense + Snort | T1046 网络扫描 | | 7 | CASB 策略执行 | Squid + pfSense | T1537 数据窃取 | | 8 | 事件响应自动化 | 集成脚本 | 所有阶段 | ## 📚 文档 - [网络设置指南](docs/network-setup.md) - [虚拟机构建指南](docs/vm-build-guide.md) - [付费与免费工具对比](docs/tool-comparison.md) ## 🔗 资源 - [Wazuh 文档](https://documentation.wazuh.com) - [Greenbone 社区文档](https://greenbone.github.io/docs/) - [pfSense 文档](https://docs.netgate.com/pfsense/en/latest/) - [Proxmox Mail Gateway 文档](https://pmg.proxmox.com/pmg-docs/) - [Lynis 文档](https://cisofy.com/documentation/lynis/) - [MITRE ATT&CK 框架](https://attack.mitre.org/) ## 📄 许可证 MIT 许可证 — 可免费使用、修改和分发。 *为高级 SOC 从业者构建。所有工具均为 100% 免费且开源。* ## 👤 作者 **Sandeep Mothukuri** - GitHub: [@sandeepmothukuri](https://github.com/sandeepmothukuri) - 网站: [cybertechnology.in](https://cybertechnology.in) - LinkedIn: [linkedin.com/in/sandeepmothukuris](https://www.linkedin.com/in/sandeepmothukuris) - 邮箱: sandeep.mothukuris@gmail.com ## 🗂️ 所有仓库 | 仓库 | 描述 | |---|---| | [ai-soc-lab](https://github.com/sandeepmothukuri/ai-soc-lab) | 使用 Wazuh + TheHive + Ollama (LLaMA3) 进行自动分诊的 AI 增强型 SOC | | [advanced-soc-lab-v2.0](https://github.com/sandeepmothukuri/advanced-soc-lab-v2.0) | 包含 OpenSearch、Suricata、Zeek、MISP、Caldera、Velociraptor 的 12 工具 SOC 实验室 | | [Autonomous-SOC-Lab](https://github.com/sandeepmothukuri/Autonomous-SOC-Lab) | 具备 AI 驱动检测和自愈剧本的自主 SOC | | [soc-threat-hunting-lab](https://github.com/sandeepmothukuri/soc-threat-hunting-lab) | 威胁检测实验室 — Zeek、RITA、Arkime、Velociraptor、OSQuery、MISP | | [soc-lab-free](https://github.com/sandeepmothukuri/soc-lab-free) | 免费 SOC 实验室 — OpenVAS、Wazuh、pfSense、Proxmox Mail、Lynis | | [soc-lab](https://github.com/sandeepmothukuri/soc-lab) | SOC 分析师家庭实验室 — Wazuh SIEM、Sysmon、MITRE ATT\&CK 映射 | | [cyberblue](https://github.com/sandeepmothukuri/cyberblue) | 容器化蓝队平台 — SIEM、DFIR、CTI、SOAR、网络分析 |

标签：CASB, ClamAV, Cloudflare, DLL注入, DNS解析, GitHub项目, GraphQL引擎检测, Greenbone, IT管理员, Lynis, mitmproxy, MITRE ATT&CK, OISF, OpenVAS, pfSense, PHP, Prowler, Proxmox Mail Gateway, SOC实验室, Squid, WAF测试, Wazuh, Web 安全测试, 企业级安全替代, 免费安全工具, 安全分析师, 安全合规, 安全实验靶场, 安全态势管理, 安全运营中心, 应用安全, 开源项目, 日志管理, 流量审计, 系统加固, 网络代理, 网络安全, 网络安全架构, 网络映射, 网络边界防护, 逆向工具, 邮件安全, 隐私保护