MakanH/soc-siem-homelab

GitHub: MakanH/soc-siem-homelab

一个自建的安全运营检测实验室,通过 pfSense 网络分段、Wazuh SIEM、自定义检测规则和模拟攻击验证,展示从日志采集到威胁发现再到 MITRE ATT&CK 映射的完整 SOC 流程。

Stars: 0 | Forks: 0

# SOC 检测实验室 - 网络分段、Wazuh SIEM 与自定义检测 一个自建的安全运营实验室:**pfSense 分段网络**(企业 LAN / DMZ / SIEM 子网),通过 **Wazuh** 在 **Windows Active Directory** 域控制器和 **Linux** 终端上进行集中检测,包含**自定义解码器和关联规则**,并且针对来自 Kali 的**模拟攻击**验证了检测能力,映射至 **MITRE ATT&CK**。 ## 架构 ``` graph TD NET((Internet)) --> WAN[pfSense WAN / NAT] WAN --> FW{{pfSense
Segmentation + Firewall Rules}} FW -->|10.10.10.0/24| LAN[Corporate LAN] FW -->|10.10.20.0/24| DMZ[DMZ] FW -->|10.10.30.0/24| SIEM[SIEM Subnet] LAN --- DC[Windows Server
AD / DC
Sysmon + Wazuh agent] DMZ --- LIN[Linux Endpoint
Wazuh agent + CustomApp] SIEM --- WZ[Wazuh Manager
Indexer + Dashboard] LAN -. simulated attacks .-> ATT[Kali Attacker] ``` ## 展示内容 - **网络分段与防火墙策略设计** - 通过明确、合理的规则隔离 LAN / DMZ / SIEM 区域 - **SIEM 运营** - 跨 Windows + Linux 集中收集日志并进行分流处理 - **检测工程** - 手写的 XML 解码器和多阶段关联规则,并使用 `wazuh-logtest` 进行验证 - **对手模拟** - 来自 Kali 的模拟攻击,每一项均经过特定检测验证并映射至 MITRE ATT&CK ## MITRE ATT&CK 覆盖范围 ![ATT&CK 覆盖范围](https://static.pigsec.cn/wp-content/uploads/repos/cas/e5/e5edcd9a839eefe97e087259d2259d44531b75f5992424c202ac26e932adfd2a.png) *攻击模拟后的 Wazuh MITRE ATT&CK 模块,展示了针对域控制器触发的战术与技术。* | 技术 | 战术 | 日志来源 | 检测规则 | 分析文档 | |---|---|---|---|---| | T1046 - 网络服务扫描 | Discovery | pfSense / 主机遥测 | 内置 | [剧本](attack-playbooks/T1046-network-recon.md) | | T1110 - 暴力破解 (自定义应用) | Credential Access | 自定义应用日志 (Linux, DMZ) | 100101, 100102, 100103 | [检测](detections/) | | T1110 - 暴力破解 (Windows / SMB) | Credential Access | Windows Security 4625 / 4624 (DC) | 60122, 60204, 92652 | [剧本](attack-playbooks/T1110-brute-force.md) | 本实验室**通过两种独立方式检测 T1110**:针对自定义应用日志手写的关联规则,以及 Wazuh 内置的 Windows 规则集(针对域控制器的真实 SMB 暴力破解)。 ## 自定义检测 本项目的差异化优势在于检测工程。`detections/` 目录包含手写的 Wazuh 工件: - **`decoders/local_decoder.xml`** - 将自定义应用日志解析为字段 (`app_action`, `dstuser`, `srcip`, `reason`) - **`rules/local_rules.xml`** - 多阶段关联阶梯: - `100101` (level 5) - 单次登录失败 - `100102` (level 10) - 120秒内来自同一源 IP 的 5 次及以上失败 = 暴力破解 - `100103` (level 12) - 暴力破解爆发后的成功登录 = 可能的账户被盗用 `log-generator/` C# 工具会生成这些规则要检测的日志行。整个链条(从生成器到解码器再到关联规则)均通过 `wazuh-logtest` 以及仪表盘中的实时流量进行了验证。 ## 仓库指南 | 路径 | 内容 | |---|---| | `docs/` | 分阶段的构建步骤和设计决策 | | `detections/` | 自定义 Wazuh 解码器 + 关联规则 | | `log-generator/` | 用于生成规则所检测的自定义日志的 C# 工具 | | `attack-playbooks/` | 从攻击到检测的分析文档,采用事件报告风格 | | `config-reference/` | 构建中使用的 Agent / 网络配置片段 | | `screenshots/` | 文档和剧本中引用的证据截图 | ## 技术栈 Kali Linux (主机) · VirtualBox · pfSense · Wazuh 4.14 · Windows Server 2022 (Active Directory) · Sysmon · Ubuntu Server · Kali (攻击者) · C# / .NET 8 ## 复现步骤 构建步骤位于 [`docs/`](docs/) 中,从 [网络设计](docs/01-network-design.md) 开始。 按照 [`detections/`](detections/) 部署检测规则,并使用[日志生成器](log-generator/) 触发它们。
标签:pfSense, Wazuh, Windows AD, 安全运营, 扫描框架, 插件系统, 网络分段