HK101-cyber/soc-home-lab

# ab": Translate to "家庭实验室" or "家用实验室". But in technical contexts, "home lab" is often kept as is or translated. Looking at examples, 'API Reference' -> 'API 参考', so "API" is kept in English, and "Reference" translated. 企业 SOC 家庭实验室，包含 ELK Stack SIEM、Splunk、Wazuh XDR。涵盖检测规则、威胁狩猎、攻击模拟和仪表板。 # 🔵 SOC 家庭实验室 — 企业级 SIEM 环境 ## 🎯 项目概述 一个完全从零开始、基于虚拟机构建的功能完备的安全运营中心（SOC）家庭实验室。此实验室使用三个行业标准 SIEM 平台复制了一个企业级 SOC 环境。 **这是一个持续进行的项目** — 检测规则、仪表板和攻击模拟会不断添加。 ## 🏗️ 实验室架构 ## Similarly, for "soc-home-lab", I could translate "home-lab" but keep "soc" in English. But "soc" might be part of the term. │ 实验室网络 │ │ │ │ ┌─────────────┐ ┌──────────────────────┐ │ │ │ Kali Linux │─────▶│ Ubuntu SIEM 服务器 │ │ │ │ (攻击者) │ │ Elasticsearch 8.x │ │ │ │ 192.168.x.x│ │ Kibana │ │ │ └─────────────┘ │ Logstash │ │ │ │ Splunk Enterprise │ │ │ ┌─────────────┐ │ Wazuh │ │ │ │ Windows │─────▶│ 192.168.x.x │ │ │ │ (目标) │ └──────────────────────┘ │ │ │ Winlogbeat │ │ │ │ Sysmon │ │ │ └─────────────┘ │ └─────────────────────────────────────────────────┘ ## 📦 SIEM 堆栈 | 平台 | 版本 | 用途 | |----------|---------|---------| | Elasticsearch | 8.x | 日志存储和搜索引擎 | | Kibana | 8.x | 仪表板和 SIEM 界面 | | Logstash | 8.x | 日志解析与富化管道 | | Splunk Enterprise | 9.x | 辅助 SIEM — SPL 检测 | | Wazuh | 4.x | XDR — 文件完整性监控、漏洞检测 | ## 📁 仓库结构 soc-home-lab/ ├── configs/ # 所有 SIEM 配置文件 ├── detection-rules/ # KQL 和 SPL 检测规则 ├── dashboards/ # 导出的 Kibana 仪表板 ├── threat-hunts/ # MITRE ATT&CK 威胁狩猎手册 ├── attack-simulations/# 攻击场景 + 告警证据 ├── reports/ # 专业 SOC 实验室报告 └── screenshots/ # 仪表板和告警截图 ## 🔍 检测规则 (映射 MITRE ATT&CK) | 规则 | 技术 | 战术 | |------|-----------|--------| | 暴力破解检测 | T1110 | 凭证访问 | | 新建本地管理员账户 | T1136 | 持久化 | | PowerShell 编码命令 | T1059.001 | 执行 | | 可疑父进程 | T1055 | 防御规避 | | RDP 暴力破解 | T1110.001 | 凭证访问 | | 大规模出站传输 | T1041 | 数据渗出 | | C2 信标模式 | T1071 | 命令与控制 | | 通过 SMB 横向移动 | T1021.002 | 横向移动 | | 权限提升 | T1078 | 权限提升 | | 凭证转储 | T1003 | 凭证访问 | ## ⚔️ 已执行的攻击模拟 - [ ] SSH/RDP 暴力破解 (来自 Kali 的 Hydra) - [ ] PowerShell 编码命令执行 - [ ] 权限提升模拟 - [ ] 通过 SMB 横向移动 - [ ] 数据渗出模拟 - [ ] C2 信标模式 ## 📊 已构建的仪表板 - [ ] SOC 总览 — 实时告警摘要 - [ ] 登录失败尝试 — 按用户、IP、时间统计 - [ ] 网络流量分析 - [ ] 进程执行监控 - [ ] 用户账户变更 - [ ] IP 地理位置图 - [ ] 威胁严重性时间线 - [ ] 告警分类队列 ## 🛠️ 工具与技术 `Elasticsearch` `Kibana` `Logstash` `Splunk` `Wazuh` `Filebeat` `Winlogbeat` `Sysmon` `KQL` `SPL` `MITRE ATT&CK` `Python` ## 📋 实验室构建日志 | 日期 | 里程碑 | |------|-----------| | 2024年5月 | 实验室环境搭建 Ubuntu SIEM 服务器部署 | | | Elasticsearch + Kibana 安装与配置 | | | 日志摄入管道配置 | | | 编写并测试检测规则 | | | 执行攻击模拟 | | | 构建并导出仪表板 | ## 📄 相关报告 - [`reports/soc-lab-report.md`](reports/soc-lab-report.md) — 完整技术报告 - [`detection-rules/rules-explained.md`](detection-rules/rules-explained.md) — 规则文档 *这是我网络安全作品集的一部分 — 在真实实验室中逐命令构建。* *联系：[LinkedIn](https://linkedin.com/in/hammad-khan101)*

标签：AMSI绕过, Elasticsearch, ELK Stack, Logstash, Sysmon, Wazuh, Winlogbeat, x64dbg, 企业级安全, 内容过滤, 威胁检测, 安全仪表板, 安全信息事件管理, 安全实验平台, 安全运营中心, 家庭实验室, 攻击模拟, 检测规则, 网络安全, 网络映射, 网络资产发现, 虚拟机安全, 越狱测试, 逆向工具, 隐私保护, 驱动签名利用