1xLoZec/detection-lab
GitHub: 1xLoZec/detection-lab
一个从零构建并实时记录的检测工程实验室,结合 ELK Stack、威胁模拟与多 AI 模型驱动的自动化检测规则生成流水线,实现了从端点遥测到规则部署的完整「检测即代码」工作流。
Stars: 1 | Forks: 0
# detection-lab
ELK Stack, Honeypots, Threat Simulation, Detection Rules.
从零开始构建,实时记录。
[](https://github.com/1xLoZec/detection-lab/actions)
[](https://github.com/1xLoZec/detection-lab/tree/main/detections/sigma)
[](https://attack.mitre.org/)
[](https://www.elastic.co/)
在工作中我是个制作三明治的工匠。在业余时间,
我从零开始构建检测工程实验室,
因为这似乎就是我的乐趣所在。
这个实验室是我深入探索检测工程中基础设施层面
的地方。我从底层构建一切,
以便真正了解底层发生的真实情况,
而不仅仅是屏幕上看到的内容。
这里的一切都在我构建的过程中同步记录。这包括
崩溃的部分、遇到的瓶颈,以及我是如何解决它们的。
这不是一个已完成的产品。这是一个实时的构建过程。
## 技术栈
| 组件 | 技术 | 状态 |
|---|---|---|
| SIEM | Elastic Stack 8.19 | ✅ 运行中 |
| 端点 | Windows 11 Pro 25H2 · Sysmon | ✅ 运行中 |
| 日志收集 | Elastic Agent 8.19 + Fleet | ✅ 运行中 |
| Hypervisor | Proxmox VE 9.1 | ✅ 运行中 |
| 网络 | UniFi · VLANs (Default/Home/Mgmt/Lab/RedLab) | ✅ 运行中 |
| VPN | WireGuard | ✅ 运行中 |
| 威胁模拟 | Atomic Red Team | ✅ 运行中 |
| 检测 Pipeline | h4voc_water (Claude + Gemini + Ollama) | ✅ 运行中 |
| 检测规则 | Sigma → pySigma → Elastic DSL | ✅ 运行中 |
| CI/CD | GitHub Actions (self-hosted, 3-AI gate) | ✅ 运行中 |
| 告警 | HTML email · Rich terminal | ✅ 运行中 |
| 蜜罐网络 | T-Pot | 🔜 计划中 |
| 威胁情报 | MISP | 🔜 计划中 |
## h4voc_water
这个实验室的核心是一个我编写的名为 **h4voc_water** 的自定义自主检测工程 pipeline。h4voc_water 以实验室内部的威胁模拟 agent 命名。它持续运行,因为检测工程永不停歇。
一个命令即可运行整个工作流:
```
h4voc_water
```
接下来,无需任何人工输入即可自动完成:
1. 查询 Elasticsearch 中配置回溯窗口内的 Sysmon 事件
2. 预处理并提取跨进程、网络、文件、注册表和 DNS 类别的行为指标
3. Claude AI 识别 ATT&CK 技术、严重性、置信度、误报风险,并撰写纯英文摘要
4. Claude 使用 ECS 字段名生成可用于生产环境的 Sigma 规则
5. 规则被推送到 GitHub 并触发 CI/CD pipeline
6. 三个 AI 模型 (Claude + Gemini + Ollama) 独立验证规则 — 需要 2/3 的批准且平均分 ≥ 6
7. pySigma 将 Sigma YAML 转换为 Elasticsearch DSL,并通过 API 部署到 Kibana
8. 一封格式化的 HTML 电子邮件发送到我的收件箱,其中包含技术统计、最强信号以及推荐的下一步模拟
当前覆盖率:**57% 的 MITRE ATT&CK 战术 · 已部署 31 条自定义规则**
| 战术 | 覆盖范围 |
|--------|----------|
| Discovery | T1016, T1016.001, T1018, T1033, T1049, T1057, T1069.001, T1069.002, T1082, T1083, T1087.001, T1482 |
| Defense Evasion | T1036.005, T1112, T1195.002, T1216, T1218.007, T1564.001, T1564.003 |
| Execution | T1059.001, T1059.003 |
| Persistence | T1053.005, T1547.001 |
| Credential Access | T1003.002, T1555.004 |
| Lateral Movement | T1021.001, T1021.002 |
| Collection | T1056.001, T1560.001 |
| Exfiltration | T1048.003 |
## 进度
- 2026 年 4 月 24 日 — 创建 Repository。部署 ELK stack,加固并通过 https://1xlozec.com 访问。配置了 Firewall。安装了 SSL 证书。Kibana 已上线。
- 2026 年 4 月 24 日 — 验证 Elasticsearch 响应正常。确认 Cluster name 为 1xlozec-lab。确认 Node 为 elk-node-01。
- 2026 年 4 月 24 日 — 首批日志流入 Kibana。从服务器遥测数据中提取了 704 个文档。Elastic Agent 已在 Fleet 中注册并运行正常。
- 2026 年 4 月 24 日
- 在 DigitalOcean 上部署并加固了完整的 ELK stack
- Ubuntu 服务器已打补丁并配置了防火墙
- Elasticsearch 8.19 正在运行并已验证
- Kibana 通过 NGINX 提供 SSL 支持,运行在 https://1xlozec.com
- Fleet Server 正在运行且状态正常
- Elastic Agent 已注册并正在发送实时遥测数据
- 安装了 1,616 条 Elastic 预构建检测规则,毫无遗漏
- GitHub repository 已上线并备有文档
- 2026 年 4 月 24 日 — WireGuard VPN 已完全配置并带有 split DNS。Kibana 仅可通过加密的 VPN 隧道访问。域名通过 VPN 正确解析。公共互联网访问已屏蔽。基础设施已加固,为 Phase 4 做好了准备。
- 2026 年 4 月 24 日 — 在 VMware Fusion 中部署了 Windows 11 ARM 虚拟机。使用 ARM64 原生二进制文件 (Sysmon64a) 安装了 SwiftOnSecurity 配置的 Sysmon。Elastic Agent 已注册且运行正常。Windows 虚拟机正在向 ELK stack 发送遥测数据。网络已隔离为纯私有模式。在干净安装和注册后分别拍摄了快照。Phase 4 完成。下一步是 Atomic Red Team。
- 2026 年 4 月 25 日 — 在 VMware 上遇到了瓶颈。深入调查后发现,Broadcom 提供的安装包不完整。这不是配置问题,而是文件确实丢失了。在此期间顺便修复了一个 DNS 问题,然后继续推进。
- 2026 年 4 月 28 日 — 决定把事情做对。用企业级设备替换了 ISP 路由器和 mesh WiFi。购买了一台专用机器用于 Proxmox。已实施适当的网络分段。攻击环境已锁定。正在等待硬件以完成构建。
- 2026 年 5 月 7 日 — 进行了长时间的攻关。在专用实验机器上运行了 Proxmox,并在其中搭建了 Windows 虚拟机。构建了一个跳板机以安全访问实验环境。从我的电脑到跳板机的 SSH 连接正常工作,并完全支持剪贴板。仍在处理网络分段。越来越接近目标了。
- 2026 年 5 月 8 日 — Pipeline 已上线。Windows 虚拟机的遥测数据正在流入 Kibana。Sysmon 运行正常,Windows 事件日志、PowerShell 日志和安全事件都从虚拟机中显示出来。达到这一步花了一些功夫,但现在运行得很干净。
- 2026 年 5 月 8 日 — 今天进行了首次 Atomic Red Team 模拟。T1003 凭证转储。完全隔离,无处可逃。遥测数据立即出现在 Kibana 中。Sysmon 捕获了所有内容 — 进程创建、注册表修改、登录事件。整个 pipeline 完全按设计工作。接下来将编写第一个检测规则。
\
- 2026 年 5 月 10 日 — 完整的 Detection as Code pipeline 已上线。将 Sigma 规则推送到 GitHub,它会自动被三个 AI 模型验证,转换为 Elastic 查询语言,并部署到 Kibana。无需手动步骤。第一条规则部署成功 — PowerShell 生成侦察命令。每 5 分钟运行一次。
- 2026 年 5 月 10 日 — 构建了完整的 h4voc_water 自动化 pipeline。一个命令即可触发整个检测工程工作流:查询 Elasticsearch,使用 Claude AI 提取 ATT&CK 技术,生成 Sigma 规则,推送到 GitHub,通过三个 AI 模型 (Claude + Gemini + Ollama) 进行验证,使用 pySigma 转换为 Elastic DSL,部署到 Kibana,并将格式化的 HTML 告警发送到我的收件箱。已部署 31 条规则。达到 57% 的 ATT&CK 战术覆盖率。带有自适应回溯、每周摘要和终止开关的 24/7 全天候运行。Pipeline 已全面投入使用。
## 路线图
- [ ] 位于 `training.1xlozec.com` 的公共只读 Kibana
- [ ] MITRE ATT&CK 覆盖热力图 (自动生成)
- [ ] 部署的规则触发时的 Kibana 电子邮件告警
- [ ] 在 Proxmox 中配置 Active Directory 域控制器
- [ ] 在专用 DigitalOcean droplet 上配置 T-Pot 蜜罐
- [ ] MISP 威胁情报集成
- [ ] 针对各项技术的事件响应 playbook
- [ ] 位于 `docs.1xlozec.com` 的文档站点
- [ ] 误报反馈循环
## 实验室访问
实时 Kibana 仪表板:https://1xlozec.com
*由 1xLoZec 构建。工作仍在进行中。请经常回来看看。*
- 2026 年 4 月 24 日 — 首批日志流入 Kibana。从服务器遥测数据中提取了 704 个文档。Elastic Agent 已在 Fleet 中注册并运行正常。
- 2026 年 4 月 24 日
- 在 DigitalOcean 上部署并加固了完整的 ELK stack
- Ubuntu 服务器已打补丁并配置了防火墙
- Elasticsearch 8.19 正在运行并已验证
- Kibana 通过 NGINX 提供 SSL 支持,运行在 https://1xlozec.com
- Fleet Server 正在运行且状态正常
- Elastic Agent 已注册并正在发送实时遥测数据
- 安装了 1,616 条 Elastic 预构建检测规则,毫无遗漏
- GitHub repository 已上线并备有文档
- 2026 年 4 月 24 日 — WireGuard VPN 已完全配置并带有 split DNS。Kibana 仅可通过加密的 VPN 隧道访问。域名通过 VPN 正确解析。公共互联网访问已屏蔽。基础设施已加固,为 Phase 4 做好了准备。
- 2026 年 4 月 24 日 — 在 VMware Fusion 中部署了 Windows 11 ARM 虚拟机。使用 ARM64 原生二进制文件 (Sysmon64a) 安装了 SwiftOnSecurity 配置的 Sysmon。Elastic Agent 已注册且运行正常。Windows 虚拟机正在向 ELK stack 发送遥测数据。网络已隔离为纯私有模式。在干净安装和注册后分别拍摄了快照。Phase 4 完成。下一步是 Atomic Red Team。
- 2026 年 4 月 25 日 — 在 VMware 上遇到了瓶颈。深入调查后发现,Broadcom 提供的安装包不完整。这不是配置问题,而是文件确实丢失了。在此期间顺便修复了一个 DNS 问题,然后继续推进。
- 2026 年 4 月 28 日 — 决定把事情做对。用企业级设备替换了 ISP 路由器和 mesh WiFi。购买了一台专用机器用于 Proxmox。已实施适当的网络分段。攻击环境已锁定。正在等待硬件以完成构建。
- 2026 年 5 月 7 日 — 进行了长时间的攻关。在专用实验机器上运行了 Proxmox,并在其中搭建了 Windows 虚拟机。构建了一个跳板机以安全访问实验环境。从我的电脑到跳板机的 SSH 连接正常工作,并完全支持剪贴板。仍在处理网络分段。越来越接近目标了。
- 2026 年 5 月 8 日 — Pipeline 已上线。Windows 虚拟机的遥测数据正在流入 Kibana。Sysmon 运行正常,Windows 事件日志、PowerShell 日志和安全事件都从虚拟机中显示出来。达到这一步花了一些功夫,但现在运行得很干净。
- 2026 年 5 月 8 日 — 今天进行了首次 Atomic Red Team 模拟。T1003 凭证转储。完全隔离,无处可逃。遥测数据立即出现在 Kibana 中。Sysmon 捕获了所有内容 — 进程创建、注册表修改、登录事件。整个 pipeline 完全按设计工作。接下来将编写第一个检测规则。
\
- 2026 年 5 月 10 日 — 完整的 Detection as Code pipeline 已上线。将 Sigma 规则推送到 GitHub,它会自动被三个 AI 模型验证,转换为 Elastic 查询语言,并部署到 Kibana。无需手动步骤。第一条规则部署成功 — PowerShell 生成侦察命令。每 5 分钟运行一次。
- 2026 年 5 月 10 日 — 构建了完整的 h4voc_water 自动化 pipeline。一个命令即可触发整个检测工程工作流:查询 Elasticsearch,使用 Claude AI 提取 ATT&CK 技术,生成 Sigma 规则,推送到 GitHub,通过三个 AI 模型 (Claude + Gemini + Ollama) 进行验证,使用 pySigma 转换为 Elastic DSL,部署到 Kibana,并将格式化的 HTML 告警发送到我的收件箱。已部署 31 条规则。达到 57% 的 ATT&CK 战术覆盖率。带有自适应回溯、每周摘要和终止开关的 24/7 全天候运行。Pipeline 已全面投入使用。
## 路线图
- [ ] 位于 `training.1xlozec.com` 的公共只读 Kibana
- [ ] MITRE ATT&CK 覆盖热力图 (自动生成)
- [ ] 部署的规则触发时的 Kibana 电子邮件告警
- [ ] 在 Proxmox 中配置 Active Directory 域控制器
- [ ] 在专用 DigitalOcean droplet 上配置 T-Pot 蜜罐
- [ ] MISP 威胁情报集成
- [ ] 针对各项技术的事件响应 playbook
- [ ] 位于 `docs.1xlozec.com` 的文档站点
- [ ] 误报反馈循环
## 实验室访问
实时 Kibana 仪表板:https://1xlozec.com
*由 1xLoZec 构建。工作仍在进行中。请经常回来看看。*标签:AI安全, AI风险缓解, API接口, Atomic Red Team, Beacon Object File, Chat Copilot, EDR, Elastic Agent, Elastic Stack, ELK Stack, Fleet, GitHub Actions, Go语言工具, Honeypot, IP 地址批量处理, PE 加载器, Proxmox, Sigma规则, Sysmon, VLAN, VPN, WireGuard, 子域名变形, 安全实验室, 安全运营, 扫描框架, 搜索语句(dork), 数据包嗅探, 数据泄露检测, 无线安全, 检测规则, 流量捕获, 流量重放, 目标导入, 终端安全, 网络信息收集, 网络安全, 网络安全审计, 网络拓扑, 网络资产发现, 脆弱性评估, 自动笔记, 虚拟化, 蜜罐, 证书利用, 隐私保护