vincetita/soc-lab-enterprise-detect-monitor

# 企业级 SOC 实验室作品集 ## 概述 本仓库包含一个完整的企业级安全运营中心 (SOC) 实验室，专为蓝队实操训练、检测工程、威胁狩猎、监控和事件响应而构建。 该实验室结合了： - Windows Server 2025 域控制器 (DC01) - Windows 11 加入域的 endpoint - Ubuntu 受监控的 Linux 节点 - Kali Linux 攻击者 VM - Wazuh SIEM - Security Onion 网络检测与威胁狩猎 - Nagios 可用性监控 - Prometheus 指标收集 - Grafana dashboard 和可视化可观测性 ## 核心系统 | 系统 | 角色 | IP | |---|---|---| | Security Onion | NDR / IDS / 狩猎 | 192.168.117.10 | | Ubuntu 监控节点 | Linux 受监控节点, Nagios, Prometheus, Grafana | 192.168.117.30 | | Wazuh | SIEM / endpoint 遥测 | 192.168.117.50 | | Kali | 攻击者 | 192.168.117.129 | | DC01 | Windows Server 2025 AD DS / DNS / Kerberos | 192.168.117.130 | | Win11Client | 域 endpoint | 192.168.117.100 | | Win11 NAT | 互联网/更新 NIC | 192.168.20.133 | ## 本项目展示的内容 - SOC 监控 - 检测工程 - 自定义 Wazuh 规则 - Sigma 检测逻辑 - Windows 事件 ID 分析 - Active Directory 监控 - Kerberos 可见性 - 横向移动检测 - 网络威胁狩猎 - Prometheus/Grafana 可观测性 - Nagios 可用性检查 - 事件响应文档 ## 主要攻击场景 | 场景 | 工具 | MITRE | |---|---|---| | SSH 暴力破解 | Hydra, Wazuh, Security Onion | T1110 | | 网络侦察 | Nmap, Security Onion, Wazuh | T1046 | | Web 枚举 | Gobuster, Apache 日志, Wazuh | T1595 / T1083 | | Windows 认证滥用 | Hydra RDP, 事件 ID 4625, Wazuh | T1110 | | Kerberos + 横向移动 | klist, WinRM, SMB, DC01 日志 | T1558 / T1021 | ## 作品集网站 本地打开： ``` cd site python -m http.server 8000 ``` 然后浏览： ``` http://localhost:8000 ``` ## 核心亮点 我设计并实现了一个完整的企业级 SOC 实验室，跨越 Windows Server 2025 Active Directory、Windows 11、Linux 基础设施、Wazuh SIEM、Security Onion NDR、Prometheus、Grafana 和 Nagios 模拟了真实世界的攻击场景。我设计了自定义检测，模拟了暴力破解、侦察、Kerberos 和横向移动的工作流，并构建了事件调查和关联 pipeline。

标签：PE 加载器, SOC实验室, Terraform 安全, 后端开发, 安全运营, 密码管理, 扫描框架, 插件系统, 模拟器, 网络安全审计, 自定义请求头, 逆向工具