Ladi-Samuels/soc-home-lab
GitHub: Ladi-Samuels/soc-home-lab
这是一个专注于检测工程和SIEM集成的SOC家庭实验室,旨在帮助安全人员在Apple Silicon Mac上模拟攻防并开发检测规则。
Stars: 0 | Forks: 0
# SOC 家庭实验室
一个专注于检测工程、攻击者遥测分析和 SIEM 集成的自建安全运营实验室。该实验室通过虚拟化的攻击者和受害主机模拟小型企业环境,并完整记录从攻击者行为到防御者可见性的全链条检测过程。
## 实验室架构
**主机平台:** Mac Mini M4 (Apple Silicon)
**虚拟机管理程序:** UTM
**网络模式:** 共享网络 — `192.168.65.0/24`
## 实验室清单
| 主机 | 角色 | IP | 操作系统 | 状态 |
|---|---|---|---|---|
| SOC-ATTACKER-01 | 攻击者 | 192.168.65.3 | Kali Linux | 活跃 |
| SOC-WINDOWS-01 (非生产环境) | 主要受害机 | 192.168.65.4 | Windows 11 (ARM64) | 活跃 — 用于所有第一阶段攻击 |
| SOC-WINDOWS-02 | 次要受害机 | 待定 | Windows 11 (ARM64) | 已部署,保留用于第二阶段及以后 |
| SOC-WINDOWS-02-CLONE | 快照/还原受害机 | 待定 | Windows 11 (ARM64) | 已部署,保留用于检测测试迭代 |
| Metasploitable | Linux 受害机 | 待定 | Metasploitable | 已部署,保留用于未来实验室 |
**为何需要三台 Windows 受害机?** 检测工程需要可重复的状态。非生产环境 VM 是活跃测试期间的主要目标。次要受害机及其克隆保留用于第二阶段及以后的场景 — 智能体部署测试、横向移动模拟以及在验证自定义检测规则时进行快照和还原工作流,以避免污染主要受害机的遥测数据。
## 阶段
### 第一阶段 — 通过 Sysmon 检测 Meterpreter (已完成)
针对 Windows 11 进行三轮 Meterpreter 反向 Shell 攻击,每轮改变一个变量,并使用 Sysmon 遥测和 MITRE ATT&CK 映射进行端到端的文档记录。
| 轮次 | 投递方式 | C2 端口 | 关键发现 |
|---|---|---|---|
| 1 | 浏览器 (msedge.exe) | 4444 | MotW (ZoneId=3) 已应用;Sysmon 完整覆盖 |
| 2 | PowerShell `Invoke-WebRequest` | 4444 | MotW 缺失 — 无 SmartScreen 警告 |
| 3 | PowerShell `Invoke-WebRequest` | 8443 | 端口混入合法 HTTPS-alt 流量 |
**核心结论:** 仅基于端口的检测是不够的。三轮攻击中一致可靠的检测信号是*行为链* — 由浏览器或 PowerShell 生成的未签名二进制文件、出站 TCP 连接、时间戳修改活动、进程突然终止。
[第一阶段实验室笔记](./phase-1-meterpreter-detection/)
### 第二阶段 — Wazuh 集成 (进行中)
部署 Wazuh 作为 SIEM,针对其重放第一阶段的攻击,并为第一阶段识别出的行为特征编写自定义检测规则。
- **阶段 A:** Wazuh 部署和 SIEM 运维技能
- **阶段 B:** 检测工程 — 为第一阶段攻击特征编写自定义规则
- **阶段 C:** 完整 SOC 模拟 — 告警分类和事件响应文档记录
[第二阶段实验室笔记](./phase-2-wazuh-integration/)
## 使用的工具
Nmap · Wireshark · Metasploit / msfvenom · Sysmon (适用于 ARM64 的 Sysmon64a) · Windows 事件查看器 · PowerShell · Python HTTP 服务器 · Wazuh (第二阶段)
## 关于环境的说明
在 UTM 上运行的 Windows 11 处于 Apple Silicon ARM 模拟环境下。Sysmon64.exe (x64) 在此环境中无法完全加载其内核驱动程序。**Sysmon64a.exe** 是原生 ARM64 二进制文件,是实现干净驱动程序安装所必需的。这在[第二天](./phase-1-meterpreter-detection/day-2-recon-and-sysmon-troubleshooting.md)中有详细记录。
*此实验室专为学习和检测研究而建。所有攻击性活动均包含在隔离的虚拟机内。*
标签:AI合规, AMSI绕过, Apple Silicon, C2通信, Cloudflare, CTI, IPv6, IP 地址批量处理, Metasploitable, Meterpreter, MITRE ATT&CK, PowerShell, SIEM集成, SOC实验室, Sysmon, Windows 11, 威胁检测, 安全操作中心, 家庭实验室, 快照回滚, 搜索语句(dork), 攻击模拟, 端点监控, 网络信息收集, 网络安全, 虚拟化, 规则验证, 逆向工具, 遥测分析, 隐私保护, 驱动签名利用