HarryKlrr/soc-detection-lab
GitHub: HarryKlrr/soc-detection-lab
一个在本地隔离环境中模拟 SOC 分析师完整工作流程的个人蓝队实验室,涵盖攻击模拟、检测规则编写、日志分析和事件响应报告。
Stars: 0 | Forks: 0
# SOC 检测实验室
## ⚠️ 道德与法律声明
本仓库中的所有操作均发生在我个人硬件上的私人隔离实验室中——这里没有任何内容接触到外部网络或系统。
## 简介
本仓库记录了一个个人网络安全家庭实验室,旨在模拟 SOC 分析师的日常工作流程。它涵盖了完整的检测生命周期:日志收集、受控环境中的攻击模拟、警报检测、调查和事件响应。
该实验室旨在为实用的 Blue Team 技能提供具有作品集质量的证明,包括 SIEM 配置、检测规则编写、日志分析以及专业的事件报告。
## 项目概述
| 属性 | 详情 |
|---|---|
| **重点领域** | Blue Team / SOC 分析 |
| **技能水平** | 入门级 / 应届毕业生 |
| **实验室类型** | 本地虚拟化环境 |
| **SIEM 平台** | Wazuh |
| **目标操作系统** | Windows 10/11, Ubuntu Linux |
| **攻击源** | Kali Linux(仅限隔离的本地网络) |
## 实验室架构
```
┌─────────────────────────────────────────────────────┐
│ Host Machine │
│ │
│ ┌─────────────┐ ┌──────────────┐ ┌─────────┐ │
│ │ Kali Linux │ │ Windows 10 │ │ Ubuntu │ │
│ │ (Attacker) │ │ (Target) │ │ (Target)│ │
│ └──────┬──────┘ └──────┬───────┘ └────┬────┘ │
│ │ │ │ │
│ └─────────────────┴────────────────┘ │
│ Host-Only Network │
│ │
│ ┌──────────────────┐ │
│ │ Wazuh Manager │ │
│ │ + Dashboard │ │
│ └──────────────────┘ │
└─────────────────────────────────────────────────────┘
```
## 使用工具
| 工具 | 角色 |
|---|---|
| **Kali Linux** | 攻击模拟(仅限本地实验室) |
| **Windows 10/11** | 目标端点 — Windows 日志源 |
| **Ubuntu Linux** | 目标端点 — Linux 日志源 |
| **Wazuh** | 开源 SIEM / HIDS / EDR |
| **Sysmon** | 增强的 Windows 进程和事件遥测 |
| **Windows Event Viewer** | 原生 Windows 日志检查 |
| **Linux 身份验证日志** | `/var/log/auth.log`, `/var/log/secure` |
| **Wireshark** *(可选)* | 数据包捕获和网络流量分析 |
## 攻击场景
| # | 场景 | 模拟技术 | 收集日志 | 检测方法 | 状态 | 链接 |
|---|---|---|---|---|---|---|
| 1 | Nmap 端口扫描 | 网络侦察 (T1046) | Kali Nmap 输出,已记录 HIDS 的局限性 | 需要 NIDS — Wazuh (HIDS) 无法检测网络扫描 | ✅ 已完成 | [查看](attack-scenarios/nmap-scan-detection.md) / [IR-005](incident-reports/IR-005-nmap-scan.md) |
| 2 | 登录失败 / 暴力破解 | 凭据攻击 (T1110) | Windows Event 4625 | Wazuh 内置 authentication_failed 规则 | ✅ 已完成 | [查看](attack-scenarios/failed-login-bruteforce.md) / [IR-001](incident-reports/IR-001-brute-force.md) |
| 3 | 可疑的 PowerShell | 通过 PowerShell 执行 (T1059.001) | Sysmon Event 1, Windows Event 4688 | Wazuh 内置规则 92057 (level 12) | ✅ 已完成 | [查看](attack-scenarios/suspicious-powershell.md) / [IR-002](incident-reports/IR-002-suspicious-powershell.md) |
| 4 | 创建新管理员账户 | 持久化 — 账户创建 (T1136) | Windows Event 4720, 4732 | Wazuh 内置规则 60154 (level 12) | ✅ 已完成 | [查看](attack-scenarios/new-admin-account-created.md) / [IR-003](incident-reports/IR-003-new-admin-account.md) |
| 5 | Windows Defender 已禁用 | 防御规避 (T1562.001) | Windows Event 5007 | Event Viewer — Defender 操作日志 | ✅ 已完成 | [查看](attack-scenarios/defender-disabled.md) / [IR-004](incident-reports/IR-004-defender-disabled.md) |
| 6 | 审计日志已清除 | 防御规避 — 日志清除 (T1070.001) | Windows Security Event 1102 | Wazuh 内置规则 60106 + 自定义审计策略修复 | ✅ 已完成 | [IR-006](incident-reports/IR-006-log-clearing.md) |
| 7 | 可疑的计划任务 | 持久化 (T1053.005) | Windows Event 4698, 106 | 自定义 Wazuh 规则 (基于 Sysmon) + TaskScheduler/Operational 日志 | ✅ 已完成 | [IR-007](incident-reports/IR-007-scheduled-task.md) |
| 8 | 钓鱼邮件(品牌冒充) | 钓鱼 — 鱼叉式钓鱼链接 (T1566.002) | 获取的邮件样本 — 静态分诊 | 人工分析师分诊(发件人/域名分析) | ✅ 已完成 | [IR-008](incident-reports/IR-008-phishing-email.md) |
| 9 | 恶意软件哈希分诊 | 恶意文件执行 (T1204.002) | 获取的样本哈希 — OSINT 分诊 | 人工 OSINT 分诊 (MalwareBazaar, VirusTotal) | ✅ 已完成 | [IR-009](incident-reports/IR-009-malware-hash-triage.md) |
## 展示技能
- **SIEM 监控** — 在 Wazuh 中配置和监控警报
- **日志分析** — 解析和解释 Windows 事件日志和 Linux 身份验证日志
- **Windows 事件分析** — 从关键的 Windows Event ID 中识别恶意活动
- **Linux 日志分析** — 审查 `/var/log/auth.log` 以查找可疑的身份验证模式
- **事件响应** — 遵循从检测到修复的结构化 IR 生命周期
- **检测工程基础** — 编写和测试自定义 Wazuh 规则,并起草 Sigma 风格的规则
- **警报分诊** — 对触发的警报进行优先级排序和调查
- **报告撰写** — 生成专业的、结构化的事件报告
- **MITRE ATT&CK 映射** — 将观察到的行为映射到 ATT&CK 战术和技术
每个场景都反映了 Tier 1 或 Tier 2 SOC 分析师在实际工作中将要分诊的警报类型。
## 如何浏览本仓库
```
soc-detection-lab/
├── lab-setup/ # Lab environment documentation and configuration guides
├── attack-scenarios/ # Step-by-step documentation of each simulated attack
├── detection-rules/ # Wazuh rules and Sigma rules
├── investigation-notes/ # Reference notes on log sources and event IDs
├── incident-reports/ # Formal incident reports for each scenario
├── sample-logs/ # Anonymised/sanitised log samples from the lab
├── screenshots/ # Evidence screenshots from the lab
├── diagrams/ # Architecture and workflow diagrams
├── playbooks/ # Incident response playbooks
└── assets/ # Supporting assets
```
从 [`lab-setup/README.md`](lab-setup/README.md) 了解环境背景,然后浏览 [`attack-scenarios/`](attack-scenarios/) 下的各个攻击场景。
## 状态说明
| 符号 | 含义 |
|---|---|
| ✅ | 已完成 — 已收集并记录证据 |
| 🔄 | 进行中 |
| 📋 | 计划中 — 尚未开始 |
*最后更新:2026 年 6 月 23 日 | 作者:Harry (GitHub: [harryklrr](https://github.com/harryklrr)) | 目标职位:SOC 分析师 / 初级网络安全分析师*
标签:Wazuh, 安全实验环境, 安全运营, 扫描框架