razalmajeed/-SOC-Home-Lab

# 🛡️ SOC 家庭实验室 — 威胁检测与事件响应 基于家庭环境构建的 SOC 模拟实验室，用于体验使用 Splunk SIEM、Sysmon 和 Active Directory 进行真实世界攻击检测。 ## 🎯 我构建的内容 在 VMware 上复制的企业网络中的 4 个虚拟机： | 机器 | 角色 | IP | |---|---|---| | Windows Server 2022 | 域控制器 (soc.local) | 192.168.50.129 | | Windows 11 (sales) | 受害机 | 192.168.50.128 | | Ubuntu | Splunk SIEM 服务器 | 192.168.50.127 | | Kali Linux | 攻击机 | 192.168.50.131 | ## ⚔️ 模拟攻击 **RDP 暴力破解** - 使用 Kali 中的 Hydra 和 xFreeRDP 对域账户进行暴力破解 - 生成 1,853 条失败的登录记录（事件代码 4625） - 触发账户锁定（4740）并捕获新管理员创建（4720） **带有实时恶意软件的钓鱼攻击** - 通过电子邮件将真实恶意软件放入 ISO 文件中 - 72 家病毒总共有 61 家将其标记为木马/后门 - 尽管攻击者更改了名称，Sysmon 仍然揭示了真正的二进制名称 TRAPFALL.exe - ISO 绕过了 Windows Mark-of-the-Web SmartScreen 保护 ## 🔍 检测 Splunk 中的行为性查询 — 捕获从挂载的 ISO 驱动器运行的任何 EXE： ``` index=main source="WinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 Image="E:\\*" | table _time, host, User, ParentImage, Image, CommandLine ``` 自动计划警报以严重性 Critical 触发 — 在触发警报中确认。 ## 🗺️ MITRE ATT&CK 覆盖范围 | 技术 | ID | |---|---| | 针对性钓鱼附件 | T1566.001 | | Mark-of-the-Web 绕过 | T1553.005 | | 恶意文件执行 | T1204.002 | | 密码暴力破解 | T1110.001 | | 有效账户 | T1078 | | 本地账户创建 | T1136.001 | | 账户锁定 | T1531 | ## 🛠️ 使用工具 Splunk Enterprise、Sysmon64、VMware Workstation Pro、Active Directory、Hydra、xFreeRDP、Kali Linux、VirusTotal ## 📄 完整报告 完整的实验室报告，包括截图和发现，可在本存储库中找到。

标签：Account Lockout, Active Directory, AMSI绕过, Cloudflare, Local Account Creation, Malicious File Execution, Mark-of-the-Web, MITRE ATT&CK, Password Brute Force, Plaso, RDP暴力破解, Spearphishing, Sysmon, Terraform 安全, Valid Accounts, VMware, 威胁检测, 安全事件响应, 安全测试, 安全运营中心, 恶意软件, 攻击性安全, 攻击模拟, 网络映射, 网络模拟, 虚拟化, 速率限制, 驱动签名利用