mlyhoops/soc-detection-lab

# SOC检测实验室 一个基于Proxmox VE构建的自托管检测工程实验室，旨在展示针对五种MITRE ATT&CK技术的端到端威胁检测。Windows端点通过Universal Forwarder将Sysmon遥测数据发送至Splunk；每项技术都包含完整的撰写文档，涵盖攻击模拟、检测逻辑和响应指南。 构建为面向SOC/检测工程岗位的作品集项目。 ## 架构概览 ``` graph TB internet((Internet)) subgraph home["Home LAN — 192.168.0.0/24"] router[Home Router] pve[Proxmox VE 9.0.3] webserv1[webserv1\nSplunk + Terraform\n192.168.0.53] end subgraph lab["Isolated Lab — 10.10.10.0/24 — NAT outbound only"] dc01[dc01\nDomain Controller] win1[win11-01\nWorkstation] win2[win11-02\nWorkstation] kali[kali\nAttacker] end internet --> router --> pve pve --> dc01 pve --> win1 pve --> win2 pve --> kali dc01 -->|"Sysmon + UF — TCP 9997"| webserv1 win1 -->|"Sysmon + UF — TCP 9997"| webserv1 win2 -->|"Sysmon + UF — TCP 9997"| webserv1 ``` ### 虚拟机清单 | 主机名 | 角色 | 操作系统 | 配置 | |---|---|---|---| | dc01 | 域控制器、DNS、DHCP | Windows Server 2022 | 2 vCPU / 4 GB / 60 GB | | win11-01 | 域工作站 | Windows 11 | 2 vCPU / 4 GB / 60 GB | | win11-02 | 域工作站 | Windows 11 | 2 vCPU / 4 GB / 60 GB | | kali | 攻击机 | Kali Linux | 2 vCPU / 4 GB / 40 GB | SIEM：Splunk Enterprise，运行于 **webserv1** (192.168.0.53)。索引：`wineventlog`、`sysmon`。 ## 检测作品集 每项技术都有专门的撰写文档，包含攻击模拟步骤、Splunk检测逻辑（SPL）、误报分析及响应指南。 | MITRE ID | 技术 | 状态 | |---|---|---| | [T1078](detections/T1078-valid-accounts/) | 有效账户 — 密码喷洒 | ⬜ 待完成 | | [T1059.001](detections/T1059.001-powershell/) | PowerShell执行 | ⬜ 待完成 | | [T1003.001](detections/T1003.001-lsass-dump/) | LSASS内存转储 | ⬜ 待完成 | | [T1021.002](detections/T1021.002-smb-lateral-movement/) | SMB横向移动 | ⬜ 待完成 | | [T1486](detections/T1486-ransomware/) | 勒索软件行为 | ⬜ 待完成 | 完整作品集概览，请参见 [detections/README.md](detections/README.md)。 ## 如何部署 完整的先决条件和故障排除指南位于 [docs/runbook.md](docs/runbook.md)。 ``` # 设置 credentials（或添加到你的 shell profile 中） export PROXMOX_VE_ENDPOINT="https://192.168.0.3:8006/" export PROXMOX_VE_API_TOKEN="@!=" export PROXMOX_VE_INSECURE="true" cd ~/detection-lab terraform init terraform plan terraform apply ``` 当前构建状态及按会话划分的路线图，请参见 [docs/roadmap.md](docs/roadmap.md)。 ## 仓库结构 ``` detection-lab/ ├── *.tf # Terraform root module (provider, versions, variables, VMs, cloud-init) ├── docs/ │ ├── architecture.md # Design rationale, Mermaid topology + logging pipeline diagrams │ ├── network-diagram.md # IP-focused network diagram and address tables │ ├── runbook.md # Start/stop, rebuild, credentials, troubleshooting │ └── roadmap.md # Session-by-session build plan and status └── detections/ ├── README.md # Portfolio overview and MITRE ATT&CK index ├── TEMPLATE.md # Reusable writeup template for each technique ├── T1078-valid-accounts/ ├── T1059.001-powershell/ ├── T1003.001-lsass-dump/ ├── T1021.002-smb-lateral-movement/ └── T1486-ransomware/ ```

标签：AMSI绕过, Cloudflare, ECS, MITRE ATT&CK, OpenCanary, Proxmox, Sysmon, Terraform, Terraform 安全, Windows 11, Windows Server, 响应指导, 威胁检测, 安全信息与事件管理, 安全运营中心, 搜索引擎爬取, 攻击模拟, 日志收集, 检测逻辑, 活动目录, 网络安全, 网络映射, 网络隔离, 自托管实验室, 虚拟化, 速率限制, 隐私保护, 驱动签名利用