Elvis-180/soc-home-lab
GitHub: Elvis-180/soc-home-lab
一个模拟企业网络环境的 SOC 家庭实验室,整合防火墙、入侵检测和 SIEM 系统来演示网络威胁检测与事件响应的完整流程。
Stars: 1 | Forks: 0
# 用于网络威胁检测的 SOC 家庭实验室
## 概述
本实验室模拟了一个分段的企业网络,旨在演示如何使用 IDS 和 SIEM 工具进行流量监控、入侵检测和集中式日志分析。
该环境侧重于观察流量如何跨越不同的网络区域流动,以及安全工具如何解释和分析这些流量。
## 目标
- 设计一个分段式 SOC 风格的网络
- 将检测到的行为映射到 MITRE ATT&CK 技术以提供威胁上下文
- 从 Kali Linux 模拟真实的网络攻击
- 使用 Snort IDS 和 Sysmon 端点监控来监控流量并检测攻击
- 将所有日志转发至 Splunk 进行集中分析
- 在 Splunk 中构建关联规则和仪表板
- 练习事件响应和威胁狩猎
## 实验室架构设计
### 网络分段
为 pfSense 分配 3 个接口(WAN、LAN 和 OPT1)
- 外部 OPT1 网络:[Kali Linux]
- 内部 LAN 网络:[Windows Server, Windows 10]
- 管理 / 监控网络:[Splunk (SIEM), Snort (IDS), Sysmon, Pfsense Logs]
## 架构图
```
[ Kali Linux — 192.168.2.5/24 . OPT1 ]
Attacker · Nmap · Metasploit . Hydra
│
│ recon · brute force · exploit
▼
┌─────────────────────────────┐
│ pfSense │
│ Firewall │
└──────────────┬──────────────┘
│
│ 192.168.1.0/24 LAN
│
┌──────────────▼──────────────┐
│ Ubuntu Server │
│ Snort IDS · Splunk UF |
│ 192.168.1.9 |
└──────────────┬──────────────┘
│
┌───────┴────────┐
│ │
┌──────▼──────┐ ┌──────▼──────┐
│ Windows │ │ Windows 10 │
│ Server 2022 │ │ Domain PC │
│ 192.168.1.1 │ │ UF │
│ AD DC · DNS │◄─┤ 192.168.1.3 │
│ Sysmon · UF │ │ │
└─────────────┘ └─────────────┘
│
│ all logs forwarded
▼
┌─────────────────────────────┐
│ Splunk Enterprise │
│ SIEM / Correltion |
│ 192.168.1.10:8000 |
└─────────────────────────────┘
```
## 工具与角色
### 攻击机
| 工具 | 类型 | 角色 |
|------|------|------|
| **Kali Linux** | 攻击者 OS | 模拟真实攻击——端口扫描、暴力破解、漏洞利用 |
### 网络安全
| 工具 | 类型 | 角色 |
|------|------|------|
| **pfSense** | 防火墙 / 路由器 | 控制流量,阻止/允许连接,记录网络活动 |
### 端点(目标机器)
| 工具 | 类型 | 角色 |
|------|------|------|
| **Windows Server (域控制器)** | 端点 | Active Directory 域控制器,主要攻击目标 |
| **Windows 10** | 端点 | 域计算机,模拟真实用户机器 |
| **Sysmon** | 端点监控 | 记录 Windows 机器上的进程创建、网络连接、文件和注册表更改 |
| **Splunk Universal Forwarder** | 日志转发器 | 将 Sysmon 和 Windows 事件日志发送至 Splunk |
### 网络检测
| 工具 | 类型 | 角色 |
|------|------|------|
| **Ubuntu Server** | 主机 OS | 托管 Snort IDS |
| **Snort** | 网络 IDS | 监控网络流量,检测可疑模式和已知攻击特征 |
### SIEM
| 工具 | 类型 | 角色 |
|------|------|------|
| **Splunk Enterprise** | SIEM | 收集、索引、关联并可视化实验室中所有来源的所有日志 |
## 流量流向描述
- Kali 向网络发送恶意流量。该流量首先到达 pfSense,由其执行防火墙规则并记录所有通过的流量。
- 随后流量进入 LAN,在此处 Ubuntu/Snort 以混杂模式进行监听——它将检查该网段上的所有流量,并对任何可疑活动生成警报。
- 内部机器 Windows Server 和 Windows 10 正常进行通信——工作站通过域控制器进行登录、DNS 和组策略的身份验证。
- 所有机器将其日志转发至 Splunk。pfSense 发送防火墙日志,Snort 发送 IDS 警报,Windows 机器发送 Sysmon 和事件日志。Splunk 将所有这些信息整合在一起,让您可以在单一位置全面了解整个网络。
## 关键观察
- 防火墙看到的是流量流向,而不是深层数据包细节
- IDS 检测数据包级别的异常
- SIEM 提供跨来源的汇总可见性
## 经验教训
- 部署位置比工具更重要:IDS 的有效性取决于正确的网络定位;无论配置质量如何,不当的部署都会产生盲点。
- SIEM 的可见性不是自动产生的:日志摄取(Log ingestion)必须经过精心设计(转发器、索引和解析)。否则,数据虽然存在但却不可见。
- 单一数据源是不够的:仅靠防火墙日志无法解释安全事件。有效的调查需要跨防火墙、IDS 和 SIEM 数据进行关联。
- 关联才是真正的技能:安全监控不在于工具,而在于跨多层连接信号以准确重建事件。
## 结论
该架构展示了分层安全工具如何在模拟的 SOC 环境中协同工作,从而提供对网络流量的可见性、检测和分析。
标签:AMSI绕过, Cloudflare, Conpot, CTI, IP 地址批量处理, IT运维, meg, MITRE ATT&CK, Nmap, PE 加载器, pfSense, PoC, Socks5代理, SOC家庭实验室, Sysmon, TGT, Windows安全, 企业网络模拟, 信息安全, 入侵检测系统, 关联分析, 威胁检测, 子域名变形, 安全仪表盘, 安全工程师, 安全数据湖, 安全运营中心, 库, 应急响应, 插件系统, 攻击模拟, 攻防演练, 暴力破解, 流量监控, 混合加密, 端点监控, 红队攻击, 网络分段, 网络安全实训, 网络安全审计, 网络安全靶场, 网络映射, 网络流量分析, 蓝队防御, 虚拟驱动器, 防火墙配置, 集中式日志收集, 驱动签名利用