Muhammad-Umer-NSC/SOC-Lab

# 🛡️ SOC 家庭实验室 这是一个实践性强、多部分的系列教程，我将从头开始使用开源工具构建一个功能齐全的安全运营中心（SOC）环境——所有操作都在一台机器上通过一个封闭的虚拟网络完成。 本系列中的每一个步骤都已亲自执行并验证，每个部分都附有截图。无论你是在准备安全认证考试、构建作品集，还是仅仅想了解企业级SOC工具的实际运作方式——这个系列都适合你。 ## 🧱 实验室架构 整个实验室在 **VMware Workstation** 中运行，使用两个虚拟网络接口来确保所有实验室流量与主网络隔离： | 接口 | 类型 | 网络 | 用途 | |-----------|------|---------|---------| | `VMnet8` | NAT | — | 虚拟机互联网访问 | | `VMnet1` | 仅主机 | `150.1.7.0/24` | 隔离的内部实验室网络 | **IP 地址分配：** | 机器 | 角色 | IP 地址 | |---------|------|-----------| | Wazuh 服务器 | SIEM + XDR | `150.1.7.99` | | 主机 | 管理 | `150.1.7.100` | | Windows 10 虚拟机 | Wazuh 代理 | `150.1.7.102` | ## 📚 系列路线图 | 部分 | 标题 | 状态 | |------|-------|--------| | [第1部分](./SOC-Lab-Part1) | 安装与配置 Wazuh (SIEM + XDR) | ✅ 已发布 | | [第2部分](./SOC-Lab-Part2) | 部署 Windows 10 代理与 Sysmon | ✅ 已发布 | | 第3部分 | 集成 VirusTotal 进行恶意软件告警 | 🔜 即将推出 | ## 🛠️ 工具与技术 | 工具 | 用途 | |------|---------| | **VMware Workstation** | 虚拟化平台——运行所有虚拟机 | | **Wazuh** | 开源 SIEM + XDR 平台 | | **Sysmon** | 高级 Windows 事件日志记录 | | **VirusTotal** | 威胁情报与恶意软件检测 *(第3部分)* | ## 📋 前置条件 开始本系列之前，请确保你的主机满足以下条件： - 已启用虚拟化（Intel VT-x 或 AMD-V）——通过任务管理器确认 - 主机至少拥有 **8GB RAM**（为 Wazuh 虚拟机分配至少 4GB） - 至少 **100GB 可用磁盘空间**（每个虚拟机 50GB） - 稳定的互联网连接，用于下载 ISO、OVA 文件和软件包 ## 📁 仓库结构 ``` soc-home-lab/ │ ├── README.md ← You are here — series overview │ ├── part-01-wazuh-setup/ │ ├── README.md ← Full Part 1 guide │ └── screenshots/ │ ├── part-02-agent-deployment/ │ ├── README.md ← Full Part 2 guide │ └── screenshots/ │ └── part-03-virustotal/ ← Coming soon ``` ## 🚀 快速开始 如果你是本系列的新手，请从 **第1部分** 开始——每个部分都建立在前一部分的基础上。 **建议顺序：** 1. [第1部分 — 安装和配置 Wazuh](./SOC-Lab-Part1) 2. [第2部分 — 部署 Windows 10 代理和 Sysmon](./SOC-Lab-Part2) 3. 第3部分 — 集成 VirusTotal *(即将推出)* ## 👤 作者 亲手构建并记录——每一条命令、每一个配置、每一张截图都来自真实运行的实验室环境。 ## ⭐ 支持 如果这个系列对你有所帮助，请考虑为仓库点个星——这能帮助安全社区的其他人发现它。

标签：Ask搜索, BurpSuite集成, n8n, PFX证书, RFI远程文件包含, SOC 实验室, Sysmon, VirusTotal, VMware 虚拟化, Wazuh, Windows 安全, 事件日志, 二进制发布, 企业安全, 入侵检测系统, 威胁情报, 安全教育, 安全数据湖, 安全运营中心, 家庭实验室, 开发者工具, 开源工具, 攻击检测, 攻击模拟, 网络安全, 网络映射, 网络资产管理, 自动化警报, 虚拟网络, 虚拟隔离网络, 证书学习, 速率限制, 隐私保护, 驱动签名利用