Jarmeryem/home-soc-lab

# 家庭 SOC 实验室 — 基于 Suricata 和 ELK Stack 的 IDS/SIEM ## 概述 设计并部署虚拟化 SOC（安全运营中心），用于实时检测、分析与可视化网络入侵事件。 **技术栈：** Suricata IDS · Elasticsearch · Logstash · Kibana · VirtualBox · Kali Linux ## 架构设计 三个虚拟机部署于隔离内部网络（192.168.10.0/24）： - **VM1 Kali Linux** (192.168.10.10) — 攻击端 + Suricata IDS - **VM2 Ubuntu Server** (192.168.10.20) — 漏洞靶机 - **VM3 ELK Stack** (192.168.10.30) — SIEM（Elasticsearch + Logstash + Kibana） [完整架构详情 →](architecture/README.md) ## 模拟攻击场景 | 攻击类型 | 工具 | 检测到的告警 | 阶段 | |---|---|---|---| | 网络侦察 | Nmap | 18 | 侦察阶段 | | SSH + HTTP 暴力破解 | Hydra v9.5 | 34 | 利用阶段 | | Web漏洞利用 + 反向Shell | Metasploit | 97 | 利用阶段 + 安装阶段 | ## 检测流程 Kali（攻击端）→ Suricata IDS → EVE-JSON日志 → Logstash → Elasticsearch → Kibana 仪表板 ## 关键成果 - 实时检测全部 3 种攻击类型 - 定制 Suricata 规则（SID 1000001–1000005）用于检测 Nmap/Hydra 攻击 - Kibana SOC 仪表板展示 KPI、时间线、高频签名、高频 IP - 完整的事件报告，包含 IoC 表格与修复建议 ## 仓库结构 - [architecture/](architecture/) — 网络拓扑与地址规划 - [incident-reports/](incident-reports/) — 3 份 SOC 事件报告（PDF） - [suricata-rules/](suricata-rules/) — 定制检测规则 - [network-config/](network-config/) — 虚拟机网络配置文件 - [elk-config/](elk-config/) — Logstash 管道配置

标签：AMSI绕过, BurpSuite集成, CISA项目, Elasticsearch, ELK Stack, Hydra, IDS/SIEM, Logstash, Nmap, PoC, SOC实验室, Suricata, VirtualBox, 事件报告, 仪表板, 信息收集自动化, 入侵检测系统, 内容过滤, 威胁检测, 安全信息和事件管理, 安全数据湖, 安全运营中心, 实时入侵检测, 插件系统, 暴力破解, 现代安全运营, 网络安全, 网络攻击模拟, 网络映射, 自定义规则, 虚拟化实验室, 虚拟驱动器, 越狱测试, 隐私保护, 隔离环境