houseofmartynix-debug/soc-home-lab

GitHub: houseofmartynix-debug/soc-home-lab

这是一个基于Wazuh的SOC家庭实验室，旨在通过模拟环境教授端到端的安全运营中心工作流程，包括检测工程、事件响应和威胁狩猎。

Stars: 1 | Forks: 0

# SOC 家庭实验室 — 基于 Wazuh 的安全运营中心 ![SOC](https://img.shields.io/badge/SOC-Home%20Lab-blue) ![SIEM](https://img.shields.io/badge/SIEM-Wazuh%204.7-orange) ![MITRE](https://img.shields.io/badge/MITRE-ATT%26CK-red) ![Status](https://img.shields.io/badge/Status-Active-success) ## 目录 1. [目的](#purpose) 2. [实验室架构](#lab-architecture) 3. [展示的技能](#skills-demonstrated) 4. [仓库结构](#repository-structure) 5. [检测覆盖范围](#detection-coverage) 6. [案例研究](#case-studies) 7. [快速入门](#getting-started) 8. [发展路线图](#roadmap) 9. [参考资料](#references) ## 目的本仓库记录了我作为一名有抱负的**一级 SOC 分析师**的实践学习过程。它旨在展示我理解以下内容： - **SIEM** 如何摄取、解析和关联安全遥测数据 - **检测规则**如何编写、调优并映射到攻击者行为 - **告警**如何分类、调查和升级 - **事件响应手册**如何驱动一致的分析师工作流程 - **威胁狩猎**如何主动发现检测遗漏的内容 - 现代攻击如何映射到 **MITRE ATT&CK** 框架这里的每项制品 — 规则、手册、案例研究 — 都是我会在实际工作中编写或使用的。 ## 实验室架构 ``` +-------------------------------+ | ATTACK SIMULATION | | (Kali Linux + Atomic Red) | +---------------+---------------+ | v +-------------------+ +-------------------+ +-------------------+ | Windows 10/11 | | Ubuntu Server | | pfSense FW | | Wazuh Agent | | Wazuh Agent | | Syslog -> Wazuh | +--------+----------+ +---------+---------+ +---------+---------+ | | | +-------------------------+------------------------+ | v +--------------+--------------+ | WAZUH MANAGER | | (rules + decoders + API) | +--------------+--------------+ | v +--------------+--------------+ | WAZUH INDEXER (OS) | | + WAZUH DASHBOARD (UI) | +-----------------------------+ | v +-----------------------------+ | ANALYST WORKSTATION | | - Triage alerts | | - Run playbooks | | - Document investigations | +-----------------------------+ ``` ## 展示的技能 | 技能领域 | 在本仓库中的位置 | |---|---| | SIEM 部署与配置 | [docs/wazuh-installation.md](docs/wazuh-installation.md) | | 日志源接入（Windows、Linux、防火墙） | [docs/lab-setup.md](docs/lab-setup.md) | | 检测规则编写（Wazuh XML + Sigma） | [detection-rules/](detection-rules/) | | MITRE ATT&CK 映射 | [docs/mitre-attack-mapping.md](docs/mitre-attack-mapping.md) | | 告警分类与调查 | [case-studies/](case-studies/) | | 事件响应手册 | [playbooks/](playbooks/) | | 威胁狩猎假设 | [threat-hunting/](threat-hunting/) | | 攻击模拟与紫队演练 | [attack-simulations/](attack-simulations/) | | 自动化脚本编写 (Python) | [scripts/](scripts/) | ## 仓库结构 ``` soc-home-lab/ ├── README.md <- you are here ├── docs/ <- architecture, install, MITRE mapping ├── detection-rules/ │ ├── wazuh-custom-rules/ <- custom Wazuh XML rules │ └── sigma-rules/ <- vendor-neutral Sigma rules ├── playbooks/ <- IR playbooks (markdown) ├── case-studies/ <- simulated investigations w/ evidence ├── threat-hunting/ <- hunt hypotheses + queries ├── attack-simulations/ <- Atomic Red Team test mappings ├── scripts/ <- helper tooling └── diagrams/ <- network + workflow diagrams ``` ## 检测覆盖范围本实验室中的规则目前覆盖以下 MITRE ATT&CK 技术： | 战术 | 技术 | 规则 | |---|---|---| | 初始访问 | T1110 — 暴力破解 | [SSH 暴力破解](detection-rules/wazuh-custom-rules/0100-bruteforce-ssh.xml) | | 执行 | T1059.001 — PowerShell | [可疑的 PowerShell](detection-rules/wazuh-custom-rules/0101-suspicious-powershell.xml) | | 凭证访问 | T1003 — 操作系统凭证转储 | [Mimikatz 指标](detection-rules/wazuh-custom-rules/0102-mimikatz-detection.xml) | | 数据外泄 | T1048 — 通过替代协议外泄 | [大量出站传输](detection-rules/wazuh-custom-rules/0103-data-exfiltration.xml) | | 防御规避 | T1562.001 — 禁用 Defender | [sigma-rules/windows-defender-disabled.yml](detection-rules/sigma-rules/windows-defender-disabled.yml) | | 初始访问 | T1078 — 有效账户 | [sigma-rules/suspicious-login-time.yml](detection-rules/sigma-rules/suspicious-login-time.yml) | 完整映射：[docs/mitre-attack-mapping.md](docs/mitre-attack-mapping.md) ## 案例研究每个案例研究都完整演示了一个模拟事件 — 从初始告警到关闭 — 就像我在 SOC 工单系统中记录的那样。 - [案例-001 — 来自外部 IP 的 SSH 暴力破解](case-studies/case-001-ssh-bruteforce.md) - [案例-002 — 端点上的可疑 PowerShell 执行](case-studies/case-002-suspicious-powershell.md) - [案例-003 — 钓鱼邮件调查](case-studies/case-003-phishing-investigation.md) ## 快速入门在一小时内搭建你自己的实验室： ``` # 1. 启动 Wazuh 一体化部署（Ubuntu 22.04 虚拟机，4 vCPU / 8 GB RAM） curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh sudo bash ./wazuh-install.sh -a # 2. 接入一个 Windows 端点 # 参阅 docs/lab-setup.md # 3. 导入自定义检测规则 sudo cp detection-rules/wazuh-custom-rules/*.xml \ /var/ossec/etc/rules/ sudo systemctl restart wazuh-manager ``` 完整分步指南：[docs/wazuh-installation.md](docs/wazuh-installation.md) ## 发展路线图 - [x] Wazuh manager + indexer + dashboard 部署 - [x] Windows + Linux 代理接入 - [x] 6 条映射到 MITRE 的自定义检测规则 - [x] 5 份事件响应手册 - [x] 3 个端到端案例研究 - [ ] 集成 **TheHive** 用于案例管理 - [ ] 集成 **MISP** 用于威胁情报增强 - [ ] 添加 **Shuffle** SOAR 用于自动遏制 - [ ] 扩展至 20+ 条检测规则，覆盖所有 14 个 ATT&CK 战术 ## 参考资料 - [Wazuh 文档](https://documentation.wazuh.com/) - [MITRE ATT&CK](https://attack.mitre.org/) - [Sigma HQ](https://github.com/SigmaHQ/sigma) - [Atomic Red Team](https://github.com/redcanaryco/atomic-red-team) - [NIST SP 800-61r2 — 计算机安全事件处理指南](https://csrc.nist.gov/pubs/sp/800/61/r2/final) ## 作者 **马可·塞尔瓦** — 有抱负的 **SOC 分析师**。这个实验室是我迈向蓝队 / 安全运营职业道路的一部分。欢迎提供反馈、提问和协作。 [![LinkedIn](https://img.shields.io/badge/LinkedIn-mrcslvknm-0A66C2?logo=linkedin&logoColor=white)](https://www.linkedin.com/in/mrcslvknm) [![GitHub](https://img.shields.io/badge/GitHub-houseofmartynix--debug-181717?logo=github&logoColor=white)](https://github.com/houseofmartynix-debug) [![Email](https://img.shields.io/badge/Email-houseofmartynix%40gmail.com-EA4335?logo=gmail&logoColor=white)](mailto:houseofmartynix@gmail.com)

标签：Atomic Red Team, Cloudflare, GauPlus, MITRE ATT&CK, pfSense, SOC分析师, Ubuntu Server, Wazuh, Windows 10/11, 学习资源, 安全运营中心, 实践项目, 家庭实验室, 攻击模拟, 数据泄露检测, 案例研究, 网络安全, 网络映射, 警报分诊, 逆向工具, 隐私保护, 驱动签名利用