b0rik3n/detection-engineering-classes
GitHub: b0rik3n/detection-engineering-classes
一套面向检测工程课程的容器化实验平台,预置多种真实威胁场景日志,帮助学员在模拟环境中练习安全检测与分析能力。
Stars: 0 | Forks: 0
# detection-engineering-classes
用于检测工程课程的中心仓库。
## 实验环境(在此仓库中)
- `labs/mucaro-scout`
- `labs/unc1069-crypto-ai-social-engineering-20260430-2046`
- `labs/iran-cyber-risk-escalation-20260430-2055`
- `labs/notepad-plus-plus-supply-chain-20260430-2101`
## 最低要求
对于默认的 Mucaro Scout 实验环境技术栈:
- 操作系统:Ubuntu 22.04/24.04、Debian 12、RHEL 9、Rocky/Alma 9、CentOS Stream 9 或 Fedora
- CPU:最低 2 核,推荐 4 核
- 内存:最低 6GB,推荐 8GB
- 磁盘:最低可用空间 25GB,推荐 40GB
- 网络:需要访问互联网以下载 Docker 镜像和克隆 GitHub 仓库
- 权限:具有 sudo 权限的用户
注意事项:
- Scout 本身非常轻量,但 OpenSearch Dashboards 占用资源较多。
- 可选的 Splunk 需要更多资源:最低 8GB 内存,推荐 12GB 以上。
- 安装程序会检查 CPU/内存/磁盘,并在主机配置低于最低要求时发出警告。
## 快速安装:Mucaro Scout
适用于 Ubuntu/Debian 或 RHEL 系列系统:
```
curl -fsSL https://raw.githubusercontent.com/b0rik3n/detection-engineering-classes/main/scripts/install-mucaro-scout.sh | bash
```
安装程序将会:
- 安装 Docker 和 Docker Compose 插件
- 克隆此仓库
- 使用 Docker Compose 启动 Mucaro Scout
- 将按来源分离的实验环境日志预加载到 Scout SQLite 中
安装完成后,请访问:
- Scout UI:`http://localhost:5173`
- Scout API 健康检查:`http://localhost:8000/health`
- SQLite 健康检查:`http://localhost:8000/health/sqlite`
- OpenSearch Dashboards:`http://localhost:5601`
可选配置覆盖:
```
PRELOAD_LABS=false bash scripts/install-mucaro-scout.sh
START_SPLUNK=true bash scripts/install-mucaro-scout.sh
INSTALL_DIR=$HOME/detection-engineering-classes bash scripts/install-mucaro-scout.sh
MIN_MEM_GB=4 MIN_DISK_GB=15 bash scripts/install-mucaro-scout.sh
```
## 仅预加载 Mucaro Scout
在本地已运行 Mucaro Scout 的情况下,将所有按来源分离的实验环境日志预加载到 Scout SQLite 中:
```
scripts/preload-scout-labs.sh
```
默认设置:
- API URL:`http://localhost:8000`
- 首先清除现有的 Scout SQLite 事件
- 跳过 `combined.jsonl` 文件以避免事件重复
覆盖设置:
```
API_URL=http://localhost:8000 CLEAR_FIRST=false scripts/preload-scout-labs.sh
```
## 管理文档
- `ADMIN_BACKEND_SETUP_GUIDE.md`
## 建议的命名规范
- `de-lab-`
标签:AI安全, Chat Copilot, Debian, DNS解析, Docker, Docker Compose, Elasticsearch, ESC8, Mucaro Scout, Notepad++, Python, RHEL, SOC分析, SQLite, TGT, 伊朗黑客, 供应链攻击, 加密货币诈骗, 勒索软件, 安全实验, 安全教育, 安全运营, 安全防御评估, 应用安全, 开源项目, 扫描框架, 搜索语句(dork), 攻防演练, 文档安全, 无后门, 时序数据库, 版权保护, 社会工程学, 网络安全, 网络靶场, 请求拦截, 隐私保护