panteroffire/soc-home-lab

# 🛡️ SOC 家庭实验室 []() []() []() ## 🎯 项目目标 - 使用行业标准工具构建生产级 SOC 环境 - 生成、检测和调查真实的攻击场景 - 培养与 MITRE ATT&CK 对齐的检测工程技能 - 练习从检测到报告的事件响应流程 - 将所有过程记录为实操能力的作品集 ## 🏗️ 架构 完整图表请参见 [docs/01-architecture.md](docs/01-architecture.md)。 **高层概览：** - **SOC 节点** (i7-1260P, 64GB RAM, Windows 11 + VMware Workstation Pro) - Splunk Enterprise (SIEM) - Security Onion (NSM — Zeek + Suricata) - TheHive + Cortex (案件管理) - MISP (威胁情报) - pfSense (虚拟防火墙) - **目标环境** (Ryzen 3 3200U, 32GB RAM, Windows + VirtualBox) - Windows 10 Pro (带 Sysmon 的端点) - Windows Server 2019 (Active Directory) - Ubuntu Server (有漏洞的 Web 服务器) - Kali Linux (红队模拟器) ## 🛠️ 技术栈 | 类别 | 工具 | |----------|------| | SIEM | Splunk Enterprise | | NSM | Security Onion (Zeek + Suricata) | | 端点遥测 | Sysmon + Windows 事件日志 + auditd | | 案件管理 | TheHive + Cortex | | 威胁情报 | MISP | | 检测工程 | Sigma 规则 → SPL | | 对手模拟 | Atomic Red Team, Caldera | | 虚拟化 | VMware Workstation Pro, VirtualBox | ## 📅 路线图 - [x] **第1周：** 基础搭建，GitHub 设置，虚拟机管理程序安装 - [ ] **第2周：** 基础虚拟机 (Ubuntu, Windows 10, Windows Server, Kali) - [ ] **第3-4周：** Splunk Enterprise 部署 & Universal Forwarders - [ ] **第5-6周：** 端点可视性 — Sysmon, auditd, 自定义仪表板 - [ ] **第7-8周：** 检测工程 — Sigma 规则, 警报, 威胁狩猎 - [ ] **第9-10周：** 网络安全监控 — Security Onion, PCAP 分析 - [ ] **第11-12周：** 完整的事件响应模拟 ## 📖 经验总结 记录挑战、决策和关键收获的每周笔记： [docs/03-lessons-learned.md](docs/03-lessons-learned.md) ## 📂 仓库结构 soc-home-lab/ ├── docs/ → 架构、设置指南、经验总结 ├── configs/ → 配置文件 (Sysmon, Splunk 等) ├── detections/ → Sigma 规则和 SPL 查询 ├── playbooks/ → 事件响应流程 ├── incidents/ → 模拟事件的分析报告 └── screenshots/ → 仪表板截图和证据 ## 👤 关于我 我是 Abraham，目前正在进行 SOC 分析师认证，并通过搭建此实验室将理论转化为实操能力。我的重点领域：检测工程、威胁狩猎和事件响应。 ⭐ *这是一个持续更新的项目 — 随着实验室的发展每周更新。*

标签：Metaprompt, Shodan, 管理员页面发现