Rblea97/soc-home-lab

GitHub: Rblea97/soc-home-lab

这是一个用于混合 Windows 环境检测工程的容器化 SOC 家庭实验室平台。

Stars: 0 | Forks: 0

# SOC 家庭实验室 一个用于检测工程的容器化安全运营中心平台,运行于以 Windows 为中心的家庭实验室中 — 接收、标准化、关联和分诊来自 Windows 服务器、Active Directory、Entra ID 和 Microsoft Intune 的安全遥测数据。检测规则采用 [Sigma](https://github.com/SigmaHQ/sigma),并映射到 [MITRE ATT&CK](https://attack.mitre.org/)。 ![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/024613d7e4153953.svg) ![License](https://img.shields.io/badge/license-Apache--2.0-blue) ![Python](https://img.shields.io/badge/python-3.13-3776AB?logo=python&logoColor=white) ![Docker](https://img.shields.io/badge/docker-compose-2496ED?logo=docker&logoColor=white) ## 项目简介 这是一个具备展示价值的 SOC 平台,演示了针对混合身份环境(本地 AD + Entra ID + Intune)的高级检测工程实践: - **数据接收管道** — 使用 Vector 和基于 VRL 的标准化处理,转换为 ECS 形式的架构,并在接收时附加防篡改哈希链。 - **存储** — OpenSearch 单节点,采用 ISM 热-温-删除生命周期策略。 - **检测引擎** — 一个自定义的 Python 服务,使用 [pySigma](https://github.com/SigmaHQ/pySigma) 将 Sigma 规则转换为 OpenSearch DSL,并通过 APScheduler 进行调度。 - **分析师界面** — 一个自定义的 FastAPI + HTMX 分诊界面,具备 RBAC、不可变审计日志,并内嵌了 OpenSearch Dashboards iframe 用于原始数据探索。 - **云遥测** — 一个 Microsoft Graph 收集器,用于获取 Entra ID 登录和 Intune 设备事件。 ## 设计文档 完整的设计规范文档位于 [`docs/superpowers/specs/2026-05-16-soc-home-lab-design.md`](docs/superpowers/specs/2026-05-16-soc-home-lab-design.md)。 架构决策记录(ADRs)位于 [`docs/decisions/`](docs/decisions/)。威胁模型和数据流图位于 [`docs/architecture/`](docs/architecture/)。 ## 快速开始(第一阶段后) ``` bin/doctor # preflight checks bin/init_secrets.sh # generate any missing secrets bin/init_certs.sh # generate CA + Vector cert + bootstrap client cert docker compose up -d docker compose exec analyst-ui alembic upgrade head docker compose exec analyst-ui python -m analyst_ui.bin.create_admin ``` (第 0 阶段仅提供骨架;上述命令将在第 1-9 阶段逐步生效。) ## 仓库结构 ``` . ├── docs/ # spec, ADRs, architecture diagrams, runbooks, MITRE coverage ├── services/ # vector, detection-engine, graph-collector, analyst-ui, hash-chain ├── ops/ # opensearch, postgres, redis, prometheus, grafana config ├── rules/ # Sigma rules (vendored + custom) + pySigma pipelines ├── samples/ # sanitized replay corpus ├── tests/ # contract + e2e tests at repo root ├── bin/ # operational scripts (doctor, init_secrets, replay, …) ├── secrets.example/ # placeholder secret files + docs └── sysmon/ # Sysmon config under VCS ``` ## 项目状态 这是一个公开构建的学习与展示项目。欢迎提交 PR 和反馈。 ## 许可证 Apache-2.0。详情请见 [`LICENSE`](LICENSE)。
标签:Active Directory, AMSI绕过, APScheduler, AV绕过, Cloudflare, Conpot, Docker, ECS, Entra ID, FastAPI, HTMX, Microsoft Graph, Microsoft Intune, MITRE ATT&CK, NIDS, Plaso, Python, RBAC, Sigma规则, Terraform, Vector, VRL, Windows安全, 云计算, 分诊, 威胁检测, 子域名暴力破解, 安全信息与事件管理, 安全运营中心, 安全防御评估, 审计日志, 家庭实验室, 容器化, 搜索引擎爬取, 无后门, 日志摄入, 混合环境, 目标导入, 网络安全, 网络映射, 自动化检测, 规则引擎, 请求拦截, 逆向工具, 遥测数据, 隐私保护