anthonyMont/soc-lab

# SOC 实验室 — 家庭安全运营中心 一个用于培养蓝队技能的个人 SOC 实验室，模拟企业环境，包括攻击检测、日志分析和事件响应。 ## 概述 本项目使用开源工具实现了一个功能齐全的 SOC 实验室，部署在本地 Ubuntu 主机上的 VirtualBox 虚拟机和 Docker 容器中。它涵盖了整个事件生命周期：从攻击模拟到检测、调查和文档记录。 ## 架构  **关键设计决策：** - 所有攻击者流量都强制通过 pfSense，生成真实的防火墙日志 - SOC 工具在 Docker 中运行以保留主机资源 ## 工具与技术 | 类别 | 工具 | 角色 | |---|---|---| | SIEM | Wazuh 4.9 | 日志收集、关联、警报 | | 案件管理 | TheHive 5.2 | 事件跟踪和文档 | | 分析自动化 | Cortex | 自动化可观察性分析和响应（SOAR） | 入侵检测系统 | Suricata | 实时网络流量分析和入侵检测 | 防火墙 | pfSense | 网络分段、防火墙日志 | | 攻击者 | Kali Linux | 攻击模拟 | | 目标 | Windows 10 | 带有 Wazuh 代理的端点 | | 容器化 | Docker | Wazuh 堆栈部署 | | 虚拟机管理器 | VirtualBox | 虚拟机管理 | ## 模拟攻击与检测 ### 事件 1 - 爆破 - **战术：** 凭据访问 - **技术：** 爆破 - **检测：** Wazuh 规则 60204 - 多次 Windows 登录失败 - **严重程度：** 中等 - **结果：** 攻击被检测到，通过防火墙规则阻止了源 IP - -> [在此处查看完整报告](incidents/1-brute-force.md) ## 实验室规格 | 组件 | 规格 | |---|---| | 主机操作系统 | Ubuntu 24.04 | | 内存 | 16 GB | | 存储 | 100 GB 专用分区 (`/mnt/soclab`) | | 虚拟机管理器 | VirtualBox 7.0 | | Docker | v29.3 | ## 设置指南 指南即将推出 ## 任务 - [x] 设置专用分区 - [x] 部署 Wazuh SIEM - [x] Windows 10 虚拟机 + 代理 - [x] Kali Linux 攻击虚拟机 - [x] TheHive 事件管理 - [x] 第一事件 — SMB 爆破 - [x] pfsense 防火墙和网络分段 - [ ] 在 Wazuh 仪表板中显示 pfsense 警报 - [ ] Suricata 入侵检测系统集成 - [ ] Cortex 自动化分析（SOAR） - [ ] MISP 威胁情报平台 - [ ] 活动目录（Windows Server）

标签：BurpSuite集成, Metaprompt, 请求拦截