Emmyakh/Home-Soc-Lab

# 家庭 SOC 实验室 — 攻击模拟与检测 一个实践性的网络安全家庭实验室，旨在模拟真实世界的攻击，并使用行业标准工具进行检测。本项目展示了实用的 SOC 分析师技能，包括威胁检测、日志分析、SIEM 操作、检测工程和事件响应文档编写。 ## 实验室环境 | 组件 | 角色 | IP 地址 | 操作系统 / 工具 | |-----------|------|------------|-----------| | Win10-Lab VM | 目标 / 受害者 | 192.168.10.10 | Windows 10 | | Kali Linux VM | 攻击者 | 192.168.10.20 | Kali Linux | | 主机 PC | SIEM | 172.20.10.3 | Splunk Enterprise | ## 使用的工具 - VirtualBox — 隔离的实验室网络 - Sysmon v15.20 (SwiftOnSecurity 配置) — 端点遥测 - Splunk Enterprise 10.2 — SIEM 和检测工程 - Nmap 7.98 — 网络侦察 - Hydra v9.6 — 暴力破解凭据攻击 - Windows Event Viewer — 日志分析 ## 实验室结构 | 级别 | 主题 | 关键成果 | |-------|-------|-------------| | 1 | 环境搭建 | 包含 Kali 和 Windows 虚拟机的隔离实验室 | | 2 | 侦察与检测 | 通过事件 ID 5156 检测到 Nmap 扫描 | | 3 | 凭据攻击 | 通过事件 ID 4625 检测到 Hydra 暴力破解 | | 4 | SIEM | Splunk 摄取了 24,376 个事件并生成攻击仪表板 | | 5 | 检测工程 | 构建并启用了 3 条自定义 Splunk 警报 | | 6 | 事件响应 | 生成了完整的专业 IR 报告 | ## 展示的关键技能 - 网络侦察检测 - 暴力破解攻击模拟与检测 - Windows 事件日志分析（事件 ID 4625、5156、1、3） - Sysmon 部署与配置 - Splunk SIEM 设置、搜索与仪表板创建 - 使用 Splunk SPL 编写检测规则 - MITRE ATT&CK 框架映射 - 专业的事件响应文档编写 ## 事件响应报告 完整的 IR 报告可在 [Level-6-Incident-Response](./Level-6-Incident-Response/) 文件夹中找到。

标签：AMSI绕过, BurpSuite集成, CTI, HTTP工具, Hydra, Nmap, PoC, SOC实验室, SPL搜索, Sysmon, VirtualBox, Windows 10, Windows事件日志, 事件响应报告, 事件查看器, 威胁检测, 安全仪表盘, 安全分析师, 安全告警, 安全运营, 家庭实验室, 库, 应急响应, 扫描框架, 插件系统, 攻击模拟, 数据展示, 暴力破解, 端点遥测, 管理员页面发现, 红队, 网络安全, 网络安全审计, 虚拟驱动器, 蜜罐/靶场, 速率限制, 隐私保护, 靶场环境, 驱动签名利用