nitinsukthe/SOC-Home-Lab-Threat-Detection-and-Incident-Response

GitHub: nitinsukthe/SOC-Home-Lab-Threat-Detection-and-Incident-Response

一个使用 Wazuh SIEM 和 Sysmon 构建的防御性安全运营（SOC）家庭实验室，用于模拟攻击场景并实践威胁检测、事件响应和威胁狩猎。

Stars: 0 | Forks: 0

# SOC 家庭实验室：使用 Wazuh SIEM 进行威胁检测与事件响应 ## 概述本项目展示了使用 Wazuh SIEM、Sysmon、Windows 10、Ubuntu Server 和 Kali Linux 设计、部署和操作安全运营中心 (SOC) 家庭实验室的过程。目标是模拟真实世界的网络攻击场景，收集端点遥测数据，生成安全告警，执行威胁狩猎，并使用行业标准的防御性安全工具调查事件。该实验室复制了一个实用的企业 SOC 环境，安全分析师在此环境中监控端点、检测可疑活动、调查告警，并将对手行为映射到 MITRE ATT&CK 框架。 ## 项目目标 * 构建功能完备的 SOC 家庭实验室 * 部署和配置 Wazuh SIEM * 安装并接入 Windows 端点 * 配置 Sysmon 以进行高级遥测数据收集 * 使用 Kali Linux 模拟攻击者活动 * 生成并分析安全事件 * 通过威胁狩猎调查告警 * 将检测映射到 MITRE ATT&CK 技术 * 实践真实世界的 SOC 分析师工作流程 # 实验室架构 ``` ┌─────────────────┐ │ Kali Linux │ │ Attacker VM │ └────────┬────────┘ │ │ ▼ ┌───────────────────────────────────────────────┐ │ Windows 10 Endpoint │ │ │ │ • Sysmon Installed │ │ • Wazuh Agent Installed │ │ • Security Event Logs │ └─────────────────┬─────────────────────────────┘ │ │ Log Collection ▼ ┌───────────────────────────────────────────────┐ │ Ubuntu Server │ │ │ │ • Wazuh Manager │ │ • Wazuh Indexer │ │ • Wazuh Dashboard │ │ • Threat Hunting Module │ └───────────────────────────────────────────────┘ ``` # 使用的技术 | 类别 | 技术 | | ------------------- | --------------------- | | SIEM | Wazuh | | 端点监控 | Sysmon | | 操作系统 | Ubuntu Server | | 端点 | Windows 10 | | 攻击机 | Kali Linux | | 威胁情报 | MITRE ATT&CK | | 日志收集 | Wazuh Agent | | 网络分析 | ICMP, TCP, Event Logs | | 虚拟化 | VMware Workstation | # 环境配置 | 机器 | IP 地址 | 角色 | | ------------- | --------------- | ------------------ | | Ubuntu Server | 192.168.207.128 | Wazuh Manager | | Windows 10 | 192.168.207.130 | 被监控端点 | | Kali Linux | 192.168.207.129 | 攻击模拟 | # 项目演练 ## 步骤 1：验证网络连通性验证了 SOC 环境中所有系统之间的通信。 ### Kali Linux 网络配置 ![Kali 配置](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/846eeffae5070934.png) ### Ubuntu Server 网络配置 ![Ubuntu 配置](https://raw.githubusercontent.com/nitinsukthe/SOC-Home-Lab-Threat-Detection-and-Incident-Response/main/screenshots/02-Wazuh-IP.png) ### Windows 10 网络配置 ![Windows 配置](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/2c5cf5ea9c071511.png) ### Kali 到 Windows 连通性测试 ![Ping Windows](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/e34af40a8f071517.png) ### Kali 到 Wazuh 连通性测试 ![Ping Wazuh](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/025e472584071527.png) ## 步骤 2：部署 Wazuh SIEM 安装并配置了： * Wazuh Manager * Wazuh Dashboard * Wazuh Indexer ### Wazuh Dashboard 访问 ![Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/9a44fe6851071533.png) ## 步骤 3：端点接入在 Windows 10 上安装了 Wazuh Agent 并成功将其连接到 Wazuh Manager。 ### 已连接的端点 ![Agent 已连接](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/fa31cfe52c071538.png) ## 步骤 4：Sysmon 部署安装了 Microsoft Sysmon 以捕获高级端点遥测数据。受监控的事件包括： * 进程创建 * PowerShell 活动 * 网络连接 * 注册表更改 * 文件创建 * DLL 加载 ### Sysmon 服务运行中 ![Sysmon](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/207cae60fb071544.png) ### Sysmon 日志收集配置 ![Sysmon 配置](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/7842952087071550.png) ## 步骤 5：安全事件收集验证了端点日志已成功接收至 Wazuh 中。 ### Wazuh 中的 Sysmon 事件 ![Sysmon 事件](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/53c312b0d7071556.png) ## 步骤 6：检测工程生成了与安全相关的活动以触发 Wazuh 检测。 ### PowerShell 活动检测检测到 PowerShell 执行及相关的 MITRE ATT&CK 映射。 ![PowerShell 检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/0de32deb27071605.png) ### 失败登录监控从 Windows 安全日志中检测到身份验证失败。 ![失败登录](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f15be4c44c071611.png) ### 新建用户账户检测检测到管理员账户创建活动。 ![用户创建](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/05b2de9c41071617.png) ## 步骤 7：攻击模拟从 Kali Linux 执行了侦查活动以生成告警。 ### Nmap SYN 扫描 ![Nmap SYN 扫描](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a2131b2076071623.png) ### Nmap 激进扫描 ![Nmap 激进扫描](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/389ad49897071631.png) ## 步骤 8：威胁狩猎调查使用 Wazuh 威胁狩猎进行了事件分析。调查包括： * 事件审查 * 规则分析 * 告警严重性验证 * 端点遥测审查 * 日志关联 ### 威胁狩猎调查 ![威胁狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/9525f2d360071633.png) ## 步骤 9：MITRE ATT&CK 映射将观察到的攻击者行为映射到 MITRE ATT&CK 技术。检测示例： | 技术 | 描述 | | --------- | ------------------------- | | T1059.001 | PowerShell 执行 | | T1046 | 网络服务发现 | | T1087 | 账户发现 | | T1057 | 进程发现 | ### MITRE ATT&CK 关联 ![MITRE ATT\&CK](https://raw.githubusercontent.com/nitinsukthe/SOC-Home-Lab-Threat-Detection-and-Incident-Response/main/screenshots/17-MITRE-ATTACK-Mapping.png) # SOC 分析师调查流程 1. 接收告警 2. 验证告警 3. 调查相关事件 4. 确定严重性 5. 识别影响 6. 关联遥测数据 7. 映射到 MITRE ATT&CK 8. 记录调查结果 9. 建议修复措施 # 展示的核心技能 ### 安全监控 * SIEM 管理 * 日志收集 * 事件关联 * 告警分析 ### 威胁检测 * Sysmon 监控 * Windows 事件分析 * PowerShell 检测 * 攻击面可见性 ### 事件响应 * 分流 * 调查 * 根本原因分析 * 证据收集 ### 威胁狩猎 * IOC 调查 * 事件关联 * 日志分析 * MITRE ATT&CK 映射 ### 蓝队运营 * 端点监控 * 检测工程 * 安全运营 * SOC 工作流程 ## 📚 项目文档本仓库包含涵盖完整 SOC 调查生命周期的详细技术文档，从实验室部署、检测工程到威胁狩猎和事件响应。 ### 文档概述 | 文档 | 描述 | | --------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | **Project-Overview.md** | SOC 家庭实验室的高层概述、目标、使用的技术和项目范围。 | | **Lab-Architecture.md** | 环境的详细架构，包括 Kali Linux、Windows 10、Ubuntu Server、Wazuh SIEM、Sysmon 和网络设计。 | | **Detection-Use-Cases.md** | 项目期间开发和测试的安全检测场景，包括 PowerShell 执行、账户创建、失败登录和侦查活动。 | | **Incident-Response-Report.md** | 正式的事件响应调查，记录了告警分析、发现、根本原因评估、MITRE ATT&CK 映射和修复建议。 | | **Lessons-Learned.md** | 构建和操作 SOC 家庭实验室期间获得的关键技术和经验教训。 | | **wazuh-sysmon-configuration.md** | 用于收集和分析 Windows 安全遥测数据的 Wazuh Agent 和 Sysmon 配置详情。 | | **SOC-Home-Lab-Final-Report.pdf** | 高管级别的 SOC 分析师报告，总结了架构、检测、调查、发现、MITRE ATT&CK 映射和建议。 | # 结果成功构建并运行了一个具备以下功能的 SOC 环境： * 监控 Windows 端点 * 收集 Sysmon 遥测数据 * 检测可疑活动 * 调查安全事件 * 执行威胁狩猎 * 将检测映射到 MITRE ATT&CK * 展示真实世界的 SOC 分析师能力 # 未来增强计划 * 集成 Suricata IDS * 部署 Active Directory * 配置 Sigma 规则 * 集成威胁情报源 * 部署多端点监控 * 实施自动化响应剧本 ## 作者 **Nitin Sukthe** 未来的云安全工程师 | SOC 分析师 | 蓝队爱好者专注于安全运营、威胁检测、事件响应、云安全和 SIEM 工程。

标签：AMSI绕过, Wazuh, 威胁检测, 安全实验室, 安全运营中心, 库, 应急响应, 管理员页面发现, 网络映射