Stefano251/SOC-HomeLab
GitHub: Stefano251/SOC-HomeLab
一个模拟企业级SOC环境的家庭实验室项目,整合Wazuh、pfSense、Suricata、TheHive等开源安全工具,用于蓝队和事件响应的实践学习。
Stars: 0 | Forks: 0
## SOC-HomeLab
持续构建中 | 包含 Wazuh、pfSense+Suricata、TheHive 的 SOC 家庭实验室。用于模拟企业环境和事件响应的虚拟架构。
## 描述
个人家庭实验室,旨在按比例模拟企业级 SOC(安全运营中心)环境。
目标是获取在 SOC 环境中使用的真实工具的实践经验,并记录流程的每个阶段,以展示在蓝队和事件响应领域的具体能力。
## 实验室架构
[Kali Linux — 攻击机]
|
[Internet]
|
[pfSense 2.8.0 + Suricata]
WAN: 192.168.1.56 | LAN: 192.168.100.1
Firewall + IDS/IPS
|
[LAN 192.168.100.0/24]
|
┌─────────┼──────────────┐
| | |
[Win10] [Win7] [Ubuntu Server 24.04]
Wazuh Wazuh Wazuh Agent
Agent Agent + Auditd
+Sysmon +Sysmon
| | |
└─────────┴──────────────┘
|
[Wazuh Manager 4.x]
IP: 192.168.1.57
SIEM + EDR + XDR
|
[TheHive + Cortex]
SOAR — 案例管理
(正在安装中)
[主机物理机]
Wazuh Agent + Sysmon
## 使用工具
| 类别 | 工具 | 角色 |
| SIEM/EDR/XDR | Wazuh | 监控、检测、告警 |
| Firewall/IDS/IPS | pfSense + Suricata | 流量控制和入侵检测 |
| Endpoint 监控 | Sysmon (Windows) | 高级进程和网络日志 |
| Endpoint 监控 | Auditd (Linux) | Linux 系统调用和系统日志 |
| SOAR | TheHive + Cortex | 案例管理和事件响应 |
| 攻击机 | Kali Linux | 攻击模拟 |
| 虚拟化 | Oracle VirtualBox | 虚拟机管理 |
## 虚拟机
| 虚拟机 | 操作系统 | 角色 | IP |
| pfSense | FreeBSD | Firewall + IDS/IPS | 192.168.1.56 (WAN) |
| 员工 1 | Windows 10 | 企业 Endpoint | DHCP 192.168.100.x |
| 员工 2 | Windows 7 | 易受攻击的旧版 Endpoint | DHCP 192.168.100.x |
| 企业服务器 | Ubuntu Server 24.04 | 内部服务器 | 192.168.100.103 |
| Wazuh Manager | Ubuntu | SIEM/EDR/XDR | 192.168.1.57 |
| TheHive | Ubuntu Server | SOAR | 正在安装中 |
| 攻击者 | Kali Linux | 模拟红队 | 笔记本电脑 |
## 路线图
- [x] 安装和配置 pfSense + LAN
- [x] Wazuh Manager 已安装并可访问
- [x] Windows 10 上的 Wazuh Agent + Sysmon
- [x] Windows 7 上的 Wazuh Agent + Sysmon
- [x] Ubuntu Server 上的 Wazuh Agent + Auditd
- [x] 物理主机上的 Wazuh Agent + Sysmon
- [ ] 在 pfSense 上配置 Suricata
- [ ] 安装 TheHive + Cortex
- [ ] 集成 Wazuh → TheHive
- [ ] 使用 Kali Linux 进行攻击模拟
- [ ] 记录告警和事件响应文档
- [ ] 攻防场景报告
## 免责声明
本实验室完全出于教育和个人学习目的而构建。
所有攻击模拟均在隔离且受控的环境中执行。
## 经验教训
本部分收集了在构建实验室期间遇到的实际问题,因为错误也是学习过程的一部分。
1. 快照的重要性
在构建实验室期间,虚拟机正在运行时突然断电。
结果:文件系统损坏,pfSense 和 Wazuh 无法恢复,一切都必须从零开始重新安装。
经验教训:在每个重要步骤进行快照是至关重要的,这与真实生产环境中的备份完全一样。
2. 旧版系统 (Windows 7) 的兼容性
在实验室中,Windows 7 被设定为故意易受攻击的旧版企业 Endpoint。
然而,它在软件版本选择上需要特别注意:Wazuh Agent、Firefox 和其他工具需要特定版本才能在已停止支持的操作系统上运行。这一经验有助于了解企业管理旧版系统所面临的真正挑战。
3. Ubuntu Server 24.04 minimal — 缺少基础命令
Ubuntu Server 24.04 的 minimal 版本没有预装 ping 和 wget 等基础命令。这减慢了连接 Wazuh 以及验证网络连通性的过程。解决方案:在使用 curl 验证连通性后,通过 apt 手动安装缺失的软件包。
标签:Auditd, Beacon Object File, CIDR查询, Cortex, EDR, IPS, IP 地址批量处理, Metaprompt, pfSense, SOAR, SQL, Suricata, Sysmon, TheHive, Ubuntu Server, VirtualBox, Wazuh, Windows 10, Windows 7, 企业安全模拟, 参数枚举, 威胁检测与响应, 子域名变形, 安全信息与事件管理, 安全架构, 安全运营中心, 家庭实验室, 库, 应急响应, 开源安全工具, 开源软件, 恶意流量检测, 插件系统, 搜索引擎爬取, 无线安全, 流量嗅探, 现代安全运营, 端点安全, 系统审计, 网络安全, 网络安全审计, 网络映射, 脆弱性评估, 虚拟化环境, 补丁管理, 逆向工程平台, 隐私保护