jjlocke2004/home-soc-lab

GitHub: jjlocke2004/home-soc-lab

基于VMware免费工具搭建的家庭SOC实验室,用于模拟企业级威胁检测与事件响应流程。

Stars: 0 | Forks: 0

# 家庭SOC实验室 一个从零搭建的生产级安全运营中心实验室,使用免费工具构建。涵盖Active Directory管理、SIEM部署、威胁检测和事件响应——映射真实SOC工作流程。 ## 实验室状态 | 阶段 | 组件 | 状态 | |------|------|------| | 1 | Active Directory (Windows Server 2022) | ✅ 已完成 | | 2 | SIEM — Wazuh 4.7.5 (Ubuntu 22.04) | ✅ 已完成 | | 3 | Windows 10 端点 - 受害者机器 | ✅ 已完成 | | 4 | 网络监控 — Zeek | 🔄 进行中 | | 5 | 攻击模拟 — Kali Linux | ⏳ 已计划 | | 6 | 事件响应手册 | ⏳ 已计划 | ## 实验室网络配置 所有虚拟机通过VMware仅主机网络(VMnet2)通信,与宿主机真实网络隔离。这确保了攻击流量永远不会到达实验室环境之外。 | 设置 | 值 | |------|-----| | 网络 | VMnet2 — 仅主机 | | 子网 | 192.168.100.0/24 | | DHCP | 已禁用 — 所有虚拟机使用静态IP | ![VMnet2配置](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/34044b78b4202544.png) ## 环境和架构图 | 虚拟机 | 操作系统 | 角色 | IP | |--------|----------|------|----| | WinServer-DC | Windows Server 2022 | 域控制器 | 192.168.100.7 | | Wazuh SIEM | Ubuntu 22.04 LTS | SIEM / 仪表盘 | 192.168.100.5 | | Win10-Victim | Windows 10 | 端点 / 域成员 | 192.168.100.10 | | Kali Linux | Kali Rolling | 攻击者 | 192.168.100.20 | | REMnux | REMnux 7 | 恶意软件分析 | 192.168.100.30 | ![实验室架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/7a9c0761c7202550.png) ## 阶段详解 - **[01-active-directory](assets/01-active-directory/README.md)** 部署实验室域、OU结构、用户、组和基线组策略配置。 - **[02-siem-wazuh](assets/02-siem-wazuh/README.md)** 安装Wazuh SIEM栈并与Active Directory遥测集成。 此阶段涵盖基于Ubuntu的Wazuh部署、Windows系统上的代理安装、域控制器日志收集以及在Wazuh仪表盘中验证安全事件。 - **[03-windows-endpoint](assets/03-windows-endpoint/README.md)** 构建和配置Windows 10受害者机器,包括端点日志记录和监控准备。 - **[04-network-monitoring](assets/04-network-monitoring/README.md)** *进行中* - 实验室环境的网络级可见性,包括流量捕获和监控注意事项。 - **[05-attack-simulations](assets/05-attack-simulations/README.md)** *已计划* - 用于验证检测能力并生成有意义遥测数据的受控攻击模拟。 - **[06-ir-playbooks](assets/06-ir-playbooks/README.md)** *已计划* - 基于实验室中产生的告警和工件制定的检测与响应流程。 ## 技术与技能 - Windows Server 2025 Active Directory - Wazuh SIEM部署和代理管理 - Windows端点监控 - PowerShell和Linux管理 - 检测工程和事件响应文档 ## 如何浏览此仓库 - 从 **[01-active-directory](assets/01-active-directory/README.md)** 开始了解域设计。 - 继续 **[02-siem-wazuh](assets/02-siem-wazuh/README.md)** 查看SIEM部署和AD日志集成。 - 使用其余编号文件夹进行端点配置、网络监控、攻击模拟和响应文档。
标签:Active Directory, AI合规, AMSI绕过, DAST, Plaso, REMnux, Rootkit, SOC实验室, Sysmon, Terraform 安全, VMware, Wazuh, Windows Server 2022, Zeek, 主机隔离, 域控制器, 威胁检测, 安全演练, 安全运营中心, 家庭实验室, 库, 应急响应, 恶意软件分析, 攻击模拟, 数据展示, 端点检测, 红队, 网络安全, 网络映射, 速率限制, 隐私保护, 静态IP, 驱动签名利用