Mazimmm/home-soc-lab

# 🛡️ 家用SOC实验室 — Wazuh SIEM + 检测工程 使用VMware、Wazuh 4.9.2、Sysmon和映射到MITRE ATT&CK的自定义检测规则在笔记本电脑上构建的完全功能的安全运营中心， ## 🏗️ 实验室架构 | VM | 角色 | IP | |----|------|----| | Ubuntu Server 22.04 | SOC 管理员（Wazuh SIEM） | 192.168.48.128 | | Windows 10 | 受害端点（Wazuh Agent + Sysmon） | 192.168.48.131 | | Kali Linux | 攻击者 | 192.168.48.132 | **栈：** VMware · Wazuh 4.9.2（Docker）· Sysmon（SwiftOnSecurity配置） ## ✅ 已完成阶段 | 阶段 | 描述 | 状态 | |-------|-------------|--------| | 1 | 实验室基础 — 3个VM，隔离网络 | ✅ 完成 | | 2 | 通过Docker部署Wazuh SIEM | ✅ 完成 | | 3 | Windows代理 + Sysmon遥测 | ✅ 完成 | | 4 | 第一次攻击 — nmap、RDP暴力破解、编码的PowerShell | ✅ 完成 | | 5 | 自定义检测规则（T1059.001） | 🔄 进行中 | ## 📁 仓库结构

标签：Cloudflare, MITRE ATT&CK, OpenCanary, Sysmon, Ubuntu Server, VMware, Wazuh SIEM, Windows 10, 威胁情报, 安全事件响应, 安全实验室, 安全架构, 安全运营中心, 开发者工具, 攻击模拟, 攻击测试, 检测规则, 网络安全, 网络映射, 网络资产发现, 自定义规则, 请求拦截, 隐私保护, 驱动签名利用