Alexir-Cybersec/Segmented-SOC-Monitoring-and-Malware-Analysis-Homelab
GitHub: Alexir-Cybersec/Segmented-SOC-Monitoring-and-Malware-Analysis-Homelab
一个分段网络安全实验室项目,用于展示 SOC 监控、网络检测、受控攻击模拟和恶意软件分析的全流程蓝队实践能力。
Stars: 1 | Forks: 0
# 分段 SOC 监控与恶意软件分析家庭实验室
该仓库记录了一个分段的网络安全家庭实验室,专为 SOC 监控、端点遥测、网络检测、受控的攻击者模拟以及恶意软件分析工作流实践而设计。
该实验室使用 VMware Workstation 自定义 LAN 网段、pfSense 防火墙分段、Wazuh 进行集中化日志收集和告警审查、Zeek 和 Suricata 实现网络可视化、Squid 进行受控代理日志记录、XFER-01 进行受监控的文件传输,以及隔离的 FLARE/REMnux 系统用于恶意软件和 PCAP 分析。
## 当前状态
基线构建已完成,并在以下活动网段中进行了验证:
| 网段 | 用途 | 状态 |
| ---------- | -------------------- | ------------------ |
| `MGMT` | 可信管理 | 已实现并验证 |
| `ATTACK` | 受控的攻击者基础设施 | 已实现并验证 |
| `TARGET` | 受监控的企业级主机 | 已实现并验证 |
| `DEFENSE` | Wazuh、NDR 和代理服务 | 已实现并验证 |
| `XFER` | 受监控的 SFTP 传输桥接 | 已实现并验证 |
| `ANALYSIS` | 恶意软件和 PCAP 分析工作流 | 已实现并验证 |
`TI` 和 `SPAN` 网段保留用于未来的扩展,不属于当前验证的基线部分。
## 实验室目标
构建此实验室是为了展示实用的 SOC 和蓝队技能:
- 使用 pfSense 进行网络分段
- 防火墙规则设计和管理平面加固
- Windows 端点和域控遥测数据收集
- Linux 服务器、Web 服务器、auditd 和文件完整性监控
- 基于 Wazuh agent 和 syslog 的数据接入
- Zeek 和 Suricata 网络可视化
- 使用 Squid 进行基于代理的 Web 活动日志记录
- 使用 Kali 和 CALDERA 搭建受控的攻击者基础设施
- 使用 FLARE 和 REMnux 隔离的恶意软件分析工作流
## 架构概述

该实验室使用 `FW-01-pfSense` 作为核心路由和防火墙控制点。活动网络被划分为管理、攻击者基础设施、目标系统、防御工具、文件传输和恶意软件分析网段。
## 图表
| 图表 | 用途 |
| ------------------------------------------------------------- | ---------------------------------------------------------------------- |
| [家庭实验室网络架构](diagrams/homelab-network-architecture.png) | 展示了分段的 VMware 实验室和虚拟机部署位置。 |
| [Wazuh 遥测与日志流](diagrams/wazuh-telemetry-log-flow.png) | 展示了端点、防火墙、代理、XFER、Zeek 和 Suricata 日志如何到达 Wazuh。 |
| [文件传输与分析工作流](diagrams/file-transfer-analysis-workflow.png) | 展示了通过 XFER-01 将工件传输至 FLARE 和 REMnux 的受控路径。 |
| [受控的攻击到检测流程](diagrams/attack-to-detection-flow.png) | 展示了 Kali/CALDERA 活动如何转化为端点、网络、防火墙和 Wazuh 证据。 |
可编辑的 draw.io 源文件存储在 [`diagrams/`](diagrams/) 中。
## 文档导航
| 文档 | 用途 |
| ------------------------------------------------------------- | ----------------------------------------------- |
| [`docs/00-project-overview.md`](docs/00-project-overview.md) | 项目目的、范围和设计目标 |
| [`docs/01-architecture.md`](docs/01-architecture.md) | 架构、流量流向和安全设计 |
| [`docs/02-network-segmentation.md`](docs/02-network-segmentation.md) | 网段/子网设计和信任边界 |
| [`docs/03-vm-inventory.md`](docs/03-vm-inventory.md) | 虚拟机列表、角色、IP 地址和遥测状态 |
| [`docs/04-pfsense-build.md`](docs/04-pfsense-build.md) | pfSense 接口、别名、syslog 和防火墙策略 |
| [`docs/05-wazuh-data-sources.md`](docs/05-wazuh-data-sources.md) | Wazuh 日志源和监控覆盖范围 |
| [`docs/06-windows-domain-telemetry.md`](docs/06-windows-domain-telemetry.md) | AD、Windows、Sysmon 和域遥测 |
| [`docs/07-network-detection.md`](docs/07-network-detection.md) | NDR-01、Zeek、Suricata 和 Wazuh 数据接入 |
| [`docs/08-proxy-and-xfer.md`](docs/08-proxy-and-xfer.md) | Squid 代理和受监控的 SFTP 桥接 |
| [`docs/09-attack-segment.md`](docs/09-attack-segment.md) | Kali 和 CALDERA 基础设施 |
| [`docs/10-analysis-segment.md`](docs/10-analysis-segment.md) | FLARE、REMnux、CyberChef 和分析工作流 |
| [`docs/11-screenshot-index.md`](docs/11-screenshot-index.md) | 截图证据索引 |
| [`docs/12-validation-checklist.md`](docs/12-validation-checklist.md) | 已完成的验证清单 |
| [`docs/13-diagram-reference.md`](docs/13-diagram-reference.md) | 图表索引、标题说明和源文件参考 |
## 截图证据
截图按区域归类在 `images/` 目录下:
```
images/analysis/
images/attack/
images/ndr/
images/pfsense/
images/proxy/
images/target/
images/vmware/
images/wazuh/
images/xfer/
```
截图的命名规范为:
```
---.png
```
示例:
```
pfsense-fw01-attack-firewall-rules-01.png
wazuh-soc01-agent-list-01.png
attack-atk02-caldera-docker-running-01.png
```
## 安全提示
此仓库仅包含经过脱敏处理的文档、图表、截图、调查模板、检测笔记和未来的案例总结。
以下内容被刻意排除在此仓库之外:
- pfSense XML 备份文件
- 私钥和凭据
- 恶意软件样本或受密码保护的恶意软件压缩包
- 原始的恶意软件 PCAP 文件
- CALDERA payload
- 大型取证工件(例如内存转储或磁盘镜像)
## 未来工作
未来的案例工作将添加至:
```
cases/internal/
cases/attack-generated/
cases/malware-traffic-analysis/
```
计划的案例工作包括内部 SOC 告警分析报告、Kali 生成的验证案例、CALDERA 攻击者模拟案例,以及 malware-traffic-analysis[.]net 的 PCAP 调查。
标签:DAST, Metaprompt, SOC监控, x64dbg, 安全实验室, 恶意软件分析, 网络检测