rsn9454/soc-home-lab
GitHub: rsn9454/soc-home-lab
一个使用 Elasticsearch、Kibana、Sysmon 和 Mythic C2 搭建的动手 SOC 实验室,用于练习威胁检测、攻击模拟和事件调查。
Stars: 1 | Forks: 0
# 🛡️ SOC 家庭实验室
## 概述
逐步构建的动手 SOC 实验室,使用 Elasticsearch、Logstash、Kibana、Sysmon、Mythic C2、osTicket
## 架构
## 本地实验室设置(8GB 内存)
| 虚拟机 | 操作系统 | 内存 | 用途 |
|--------|----------|------|------|
| ELK + Fleet (VM1) | Ubuntu 22.04 | 3GB | SIEM + 代理管理 |
| Windows 目标 (VM2) | Windows Server 2022 | 2GB | RDP 目标 + Sysmon |
| Ubuntu 目标 (VM3) | Ubuntu 22.04 | 1GB | SSH 目标 |
| Mythic C2 (VM4) | Ubuntu 22.04 | 1GB | 攻击模拟 |
| osTicket | Windows 11 主机 (XAMPP) | — | 工单系统 |
## 工具
Elasticsearch · Kibana · Fleet Server · Elastic Agent · Sysmon · Mythic C2 · osTicket · VirtualBox
## 进度
| 步骤 | 主题 | 状态 |
|------|------|------|
| 1 | 逻辑图 | ✅ |
| 2 | 安装 Elasticsearch (VM1) | ✅ |
| 3 | 安装 Kibana (VM1) | ✅ |
| 4 | 设置 Fleet Server (VM1) | ✅ |
| 5 | 在 Windows Server 2022 上安装 Elastic Agent (VM2) | ✅ |
| 6 | 安装并配置 Sysmon (VM2) | ✅ |
| 7 | 在 Ubuntu Server 上安装 Elastic Agent (VM3) | ✅ |
| 8 | 创建 SSH 暴力破解告警规则 | ✅ |
## 展示的技能
- SIEM 部署与配置
- 检测规则工程(KQL / EQL)
- 暴力破解攻击检测(SSH + RDP)
- C2 框架检测(Mythic / Apollo 代理)
- MITRE ATT&CK 映射
- 事件调查工作流
- 工单系统集成
- EDR 配置(Elastic Defend)
标签:AMSI绕过, C2攻击模拟, EDR, Elasticsearch, Mythic C2, osTicket, Sysmon, Windows Server, 主机监控, 事件调查, 免杀技术, 内容过滤, 告警规则, 威胁检测, 安全实验室, 安全运营中心, 攻击链, 暴力破解检测, 网络映射, 脆弱性评估, 越狱测试, 速率限制