Unieghost/SOC-Homelab

# SOC 家庭实验室 个人安全运营中心（SOC）实验室，专注于以下方面： - Wazuh - Sysmon - Active Directory - 检测工程 - 威胁狩猎 - 事件响应 - MITRE ATT&CK ## 实验室环境 ### 基础设施 - Wazuh 管理器 - Windows Server 域控制器 - Windows LTSC 工作站 - Sysmon - Active Directory - Discord 告警集成 ### 目标 - 建立实用的 SOC 技能 - 发展检测工程能力 - 模拟对手技术 - 创建自定义检测规则 - 记录调查和发现 # 事件报告 ### 事件 001 – PsExec 横向移动检测 描述： 在 Windows 主机之间使用 PsExec 模拟横向移动。 展示技能： - Sysmon 遥测分析 - Wazuh 自定义规则创建 - MITRE ATT&CK 映射 - Discord 告警集成 - 事件调查 技术： - T1059.003 Windows 命令行外壳 报告： [事件 001 - PsExec](Incident-001-PsExec/Incident-001-PsExec.md) ### 事件 002 – 暴力破解攻击检测 描述： 模拟针对特权账户的重复失败认证尝试。 展示技能： - Windows 安全日志分析 - 事件 ID 4625 调查 - Wazuh 关联规则 - MITRE ATT&CK 映射 - 告警验证 技术： - T1110 暴力破解 报告： [事件 002 - BruteForce](Incident-002-BruteForce/Incident-002-BruteForce.md) ### 事件 003 - PowerShell 编码命令执行检测 描述： 模拟通过使用 Base64 编码的有效负载通过 EncodedCommand 参数执行 PowerShell 命令。 展示技能： - PowerShell 监控 - Sysmon 事件 ID 1 分析 - Wazuh 告警调查 - MITRE ATT&CK 映射 - 仪表板关联 - Discord 告警验证 技术： - T1059.001 PowerShell 报告： [事件 003 - PowerShell Encoded](Incident-003-PowerShell-Encoded/Incident-003-PowerShell-Encoded.md) ### 事件 004 – 用户账户创建检测 描述： 模拟通过 Windows 安全事件日志检测到创建的新域用户账户。 展示技能： - Windows 安全监控 - 用户账户审计 - 事件 ID 4720 调查 - Wazuh 告警分析 - MITRE ATT&CK 映射 技术： - T1098 账户操纵 [事件 004 - 用户账户创建检测](Incident-004-User-Account-Creation-Detection/Incident-004-User-Account-Creation-Detection.md) ### 事件 005 – 特权组成员资格变更 描述： 模拟在 Active Directory 环境中将用户添加到 Domain Admins 组。 展示技能： - Active Directory 安全监控 - 特权组审计 - Windows 安全日志分析 - 事件 ID 4728 调查 - Wazuh 告警关联 - MITRE ATT&CK 映射 - Discord 告警验证 技术： - T1484 域策略修改 [事件 005 - 特权组成员资格变更](Incident-005-Privileged-Group-Membership-Change/Incident-005-Privileged-Group-Membership-Change.md) ### 事件 006 – 定时任务持久性检测 描述： 模拟通过创建配置为在用户登录时执行的定时任务来实现的持久性技术。 展示技能： - Windows 安全日志分析 - 事件 ID 4698 调查 - 定时任务监控 - Wazuh 告警调查 - MITRE ATT&CK 映射 - 威胁狩猎验证 - 审计策略故障排除 技术： - T1053 定时任务/作业 报告： [事件 006 - 定时任务持久性检测](./Incident-006-Scheduled-Task-Persistence/Incident-006-Scheduled-Task-Persistence.md) ### 事件 007 – 注册表修改检测 描述： 模拟通过创建 Windows 运行键持久机制来实现的注册表修改活动。 展示技能： - Windows 注册表分析 - Sysmon 事件 ID 13 调查 - 持久性检测 - Wazuh 告警调查 - MITRE ATT&CK 映射 - Discord 告警验证 - 威胁狩猎 技术： - T1547.001 注册表运行键/启动文件夹 报告： [事件 007 - 注册表修改检测](./Incident-007-Registry-Modification/Incident-007-Registry-Modification.md) ### 事件 008 – 服务创建检测 描述： 模拟通过使用 sc.exe 安装新服务来实现的 Windows 服务创建活动。 展示技能： - Windows 服务监控 - 事件 ID 7045 调查 - 服务控制管理器分析 - 持久性检测 - 特权提升监控 - Wazuh 告警调查 - MITRE ATT&CK 映射 - 威胁狩猎 技术： - T1543.003 创建或修改系统进程：Windows 服务 报告： [事件 008 - 服务创建检测](./Incident-008-Service-Creation-Detection/Incident-008-Service-Creation-Detection.md) ### 事件 009 – PowerShell 下载窝点 描述： 模拟使用 PowerShell 和 .NET WebClient 功能从外部源检索远程内容的 PowerShell 下载窝点技术。 展示技能： - PowerShell 分析 - Sysmon 事件 ID 1 调查 - 命令行分析 - Wazuh 告警调查 - 威胁狩猎 - Discord 告警验证 - MITRE ATT&CK 映射 - Windows 端点监控 技术： - T1059.001 PowerShell - T1105 入侵工具传输 报告： [事件 009 – PowerShell 下载窝点](./Incident-009-PowerShell-Download-Cradle/Incident-009-PowerShell-Download-Cradle.md) ### 事件 010 – Nmap 网络服务发现检测 描述： 使用 Nmap 模拟网络侦察活动，以识别 Windows 域控制器上暴露的服务。 展示技能： - 网络侦察检测 - Nmap 分析 - Sysmon 事件 ID 1 调查 - Sysmon 事件 ID 3 调查 - 网络连接监控 - 服务枚举分析 - Wazuh 告警调查 - MITRE ATT&CK 映射 - 威胁狩猎 技术： - T1046 网络服务发现 - T1021.006 Windows 远程管理 报告： [事件 010 - Nmap 网络服务发现检测](Incident-010-Nmap-Network-Service-Discovery-Detection/Incident-010-Nmap-Network-Service-Discovery-Detection.md)

标签：Active Directory, AI合规, AMSI绕过, Cloudflare, MITRE ATT&CK, OpenCanary, Plaso, SOC实验室, Sysmon, Terraform 安全, Wazuh, 威胁检测, 安全事件响应, 安全培训, 安全威胁, 安全报告, 安全日志, 安全测试, 安全漏洞, 安全策略, 安全运营中心, 安全防护, 安全防护体系, 安全防护工具, 安全防护手段, 安全防护技术, 安全防护措施, 安全防护方案, 安全防护方法, 安全防护机制, 安全防护策略, 提示词设计, 攻击性安全, 管理员页面发现, 网络映射