Tanay777G/SOC--Home-Lab

# SOC--家庭实验室 Splunk SIEM 规则、Snort IDS、MITRE ATT&CK 映射以及事件响应 playbook # SOC 家庭实验室 — 检测工程作品集 ## 概述 完全运行的家庭 SOC 环境，旨在模拟真实的 7x24 小时安全运营监控。所有检测均映射至 MITRE ATT&CK 框架和 Cyber Kill Chain。 ## 实验室环境 - **SIEM:** Splunk（日志摄取、关联搜索、自定义检测规则） - **IDS:** Snort（用于端口扫描、暴力破解、C2 模式的自定义规则） - **Endpoint:** Windows 虚拟机 + Linux 虚拟机（日志源） - **框架:** MITRE ATT&CK Navigator、NIST SP 800-61、Cyber Kill Chain ## 此仓库包含的内容 | 文件夹 | 内容 | |--------|----------| | /splunk-rules | 映射至 ATT&CK 的自定义 SPL 检测搜索 | | /snort-rules | 自定义 Snort IDS 规则（.rules 文件） | | /reports | 事件响应报告和 IR 演练 | | /screenshots | 实验室环境截图 | ## 已构建的关键检测 - 失败登录暴力破解（Event ID 4625）→ ATT&CK T1110 - 可疑进程创建（Event ID 4688）→ ATT&CK T1059 - 通过 Snort 进行 C2 回调模式检测 → ATT&CK T1071 - 通过显式凭据使用进行横向移动（Event ID 4648）→ ATT&CK T1550 ## 认证 - CompTIA Security+ | CEH | CISSP (Associate) | CompTIA Network+ - Simplilearn Cybersecurity Expert Master's Program — 2026 年 6 月 ## 联系方式 - LinkedIn: linkedin.com/in/tanayshirsat - TryHackMe: tryhackme.com/p/tanayshirsat

标签：IP 地址批量处理, Modbus, 安全实验室, 安全运营, 扫描框架, 红队行动