Evgeniy-Nazarov/soc-homelab-enterprise
GitHub: Evgeniy-Nazarov/soc-homelab-enterprise
一套企业级 SOC 家庭实验室方案,整合 Splunk、Wazuh、Suricata 等安全工具,模拟真实安全运营中心的工作流以培养蓝队实战技能。
Stars: 1 | Forks: 0
# SOC 家庭企业级实验室
构建的企业级 SOC 家庭实验室,旨在模拟真实世界的安全运营中心 (SOC) 工作流、检测工程、SIEM 监控、事件调查、Active Directory 安全、网络分段以及云端连接的远程访问。
本实验室侧重于实用的蓝队经验、检测工程、SOC 工作流和企业安全可见性。
## 主要目标
- 构建企业级 SOC 架构
- 积累真实世界的 SOC 分析师经验
- 培养实用的 SOC 分析师技能
- 实践检测工程
- 模拟真实世界的事件响应
- 提升 SIEM 工程技能
## SOC 架构概览
## 核心安全组件栈
| 类别 | 技术 |
|-----------|-------------|
| SIEM | Splunk Enterprise (主要 SIEM) + Wazuh XDR (辅助 SIEM) |
| IDS | Suricata IDS |
| 防火墙 | FortiGate 60F |
| 交换机 | FortiSwitch 124E |
| 端点遥测 | Sysmon |
| 身份认证 | Active Directory |
| 云端 | AWS HUB |
| 远程访问 | WireGuard + IPsec VPN |
| 虚拟化 | Hyper-V |
## 当前实验室状态
| 组件 | 状态 |
|------------|--------|
| Splunk Enterprise | ✅ 运行中 |
| Wazuh XDR | ✅ 运行中 |
| Suricata IDS | ✅ SPAN 监控已激活 |
| FortiGate VLAN 分段 | ✅ 运行中 |
| Sysmon 遥测 | ✅ 已激活 |
| AWS HUB | ✅ 已连接 |
| WireGuard 远程访问 | 🚧 计划中 |
| GitHub 文档 | 🚧 持续开发中 |
## 项目概述
本项目展示了企业级 SOC 家庭实验室环境的设计、实施与持续改进。
该环境正在不断扩展,以强化实用的 SOC 分析师技能、检测工程能力和企业安全可见性。
构建此实验室旨在模拟真实的蓝队操作,包括:
- 安全监控
- 检测工程
- SIEM 工程
- 事件响应
- 威胁狩猎
- 网络分段
- IDS 监控
- Windows 安全遥测
- 云连接的安全访问
核心技术包括:
- **Splunk Enterprise**
- **Wazuh XDR / SIEM**
- **Suricata IDS**
- **FortiGate 60F**
- **FortiSwitch 124E**
- **Sysmon**
- **Windows Server 2022**
- **Active Directory**
- **AWS HUB**
- **WireGuard VPN**
- **IPsec VPN**
- **Hyper-V**
## 检测工程
本仓库包含实用的检测工程场景:
- SQL 注入检测
- 自定义 Splunk 检测
- Suricata IDS 监控
- Wazuh 关联分析
- 告警验证
- 攻击遥测分析
- MITRE ATT&CK 映射
## 事件调查
安全调查和基于工单的事件响应练习,包括:
- 时间线重建
- 证据收集
- IOC 分析
- 威胁调查
- 根本原因分析
- SOC 工单工作流
## 仪表板与可见性
示例包括:
- 安全 KPI 仪表板
- MITRE ATT&CK 映射
- SQL 注入监控
- 威胁时间线
- 攻击关联分析
- 日志源可见性
## 展示技能
- SIEM 工程
- 检测工程
- 威胁检测
- SOC 运营
- 网络安全
- IDS 监控
- Active Directory 安全
- Sysmon 遥测
- 事件调查
- 安全监控
- VPN 与安全远程访问
- 云安全集成
## 仓库结构
请参阅文档文件夹以获取:
- 架构
- 基础设施
- 检测工程
- 攻击模拟
- 事件调查
- 仪表板
- 经验教训
- 云端集成
- Active Directory
## 路线图
实验室将持续演进,包括:
- 检测改进
- 更多事件调查
- 仪表板增强
- 威胁狩猎工作流
- 检测调优
- 文档改进
**专为持续学习、检测工程、SOC 分析师发展以及网络安全作品集展示而构建。**
标签:Active Directory, AMSI绕过, AWS VPN, CISA项目, DOE合作, FortiGate, Hyper-V, IPsec VPN, PB级数据处理, PE 加载器, Plaso, SIEM工程, SIEM监控, SOC分析师, SOC家庭实验室, SOC架构, Splunk Enterprise, Suricata, Sysmon, Terraform 安全, Wazuh XDR, WireGuard, 企业安全, 企业级安全运营中心, 威胁检测, 子域名变形, 安全可视性, 安全实验室, 安全模拟, 安全运维, 安全运营中心, 插件系统, 漏洞利用检测, 现代安全运营, 端点遥测, 管理员页面发现, 网络分段, 网络安全, 网络安全审计, 网络映射, 网络资产管理, 远程访问, 隐私保护