Alexir-Cybersec/Segmented-SOC-Monitoring-and-Malware-Analysis-Homelab

GitHub: Alexir-Cybersec/Segmented-SOC-Monitoring-and-Malware-Analysis-Homelab

一个分段网络安全实验室项目,用于展示 SOC 监控、网络检测、受控攻击模拟和恶意软件分析的全流程蓝队实践能力。

Stars: 1 | Forks: 0

# 分段 SOC 监控与恶意软件分析家庭实验室 该仓库记录了一个分段的网络安全家庭实验室,专为 SOC 监控、端点遥测、网络检测、受控的攻击者模拟以及恶意软件分析工作流实践而设计。 该实验室使用 VMware Workstation 自定义 LAN 网段、pfSense 防火墙分段、Wazuh 进行集中化日志收集和告警审查、Zeek 和 Suricata 实现网络可视化、Squid 进行受控代理日志记录、XFER-01 进行受监控的文件传输,以及隔离的 FLARE/REMnux 系统用于恶意软件和 PCAP 分析。 ## 当前状态 基线构建已完成,并在以下活动网段中进行了验证: | 网段 | 用途 | 状态 | | ---------- | -------------------- | ------------------ | | `MGMT` | 可信管理 | 已实现并验证 | | `ATTACK` | 受控的攻击者基础设施 | 已实现并验证 | | `TARGET` | 受监控的企业级主机 | 已实现并验证 | | `DEFENSE` | Wazuh、NDR 和代理服务 | 已实现并验证 | | `XFER` | 受监控的 SFTP 传输桥接 | 已实现并验证 | | `ANALYSIS` | 恶意软件和 PCAP 分析工作流 | 已实现并验证 | `TI` 和 `SPAN` 网段保留用于未来的扩展,不属于当前验证的基线部分。 ## 实验室目标 构建此实验室是为了展示实用的 SOC 和蓝队技能: - 使用 pfSense 进行网络分段 - 防火墙规则设计和管理平面加固 - Windows 端点和域控遥测数据收集 - Linux 服务器、Web 服务器、auditd 和文件完整性监控 - 基于 Wazuh agent 和 syslog 的数据接入 - Zeek 和 Suricata 网络可视化 - 使用 Squid 进行基于代理的 Web 活动日志记录 - 使用 Kali 和 CALDERA 搭建受控的攻击者基础设施 - 使用 FLARE 和 REMnux 隔离的恶意软件分析工作流 ## 架构概述 ![分段的 SOC 家庭实验室网络架构](https://static.pigsec.cn/wp-content/uploads/repos/cas/1c/1c2c567e2f7128ce78bb8bee2001f924c8c36978e5d3b0880384823f33bb96b3.png) 该实验室使用 `FW-01-pfSense` 作为核心路由和防火墙控制点。活动网络被划分为管理、攻击者基础设施、目标系统、防御工具、文件传输和恶意软件分析网段。 ## 图表 | 图表 | 用途 | | ------------------------------------------------------------- | ---------------------------------------------------------------------- | | [家庭实验室网络架构](diagrams/homelab-network-architecture.png) | 展示了分段的 VMware 实验室和虚拟机部署位置。 | | [Wazuh 遥测与日志流](diagrams/wazuh-telemetry-log-flow.png) | 展示了端点、防火墙、代理、XFER、Zeek 和 Suricata 日志如何到达 Wazuh。 | | [文件传输与分析工作流](diagrams/file-transfer-analysis-workflow.png) | 展示了通过 XFER-01 将工件传输至 FLARE 和 REMnux 的受控路径。 | | [受控的攻击到检测流程](diagrams/attack-to-detection-flow.png) | 展示了 Kali/CALDERA 活动如何转化为端点、网络、防火墙和 Wazuh 证据。 | 可编辑的 draw.io 源文件存储在 [`diagrams/`](diagrams/) 中。 ## 文档导航 | 文档 | 用途 | | ------------------------------------------------------------- | ----------------------------------------------- | | [`docs/00-project-overview.md`](docs/00-project-overview.md) | 项目目的、范围和设计目标 | | [`docs/01-architecture.md`](docs/01-architecture.md) | 架构、流量流向和安全设计 | | [`docs/02-network-segmentation.md`](docs/02-network-segmentation.md) | 网段/子网设计和信任边界 | | [`docs/03-vm-inventory.md`](docs/03-vm-inventory.md) | 虚拟机列表、角色、IP 地址和遥测状态 | | [`docs/04-pfsense-build.md`](docs/04-pfsense-build.md) | pfSense 接口、别名、syslog 和防火墙策略 | | [`docs/05-wazuh-data-sources.md`](docs/05-wazuh-data-sources.md) | Wazuh 日志源和监控覆盖范围 | | [`docs/06-windows-domain-telemetry.md`](docs/06-windows-domain-telemetry.md) | AD、Windows、Sysmon 和域遥测 | | [`docs/07-network-detection.md`](docs/07-network-detection.md) | NDR-01、Zeek、Suricata 和 Wazuh 数据接入 | | [`docs/08-proxy-and-xfer.md`](docs/08-proxy-and-xfer.md) | Squid 代理和受监控的 SFTP 桥接 | | [`docs/09-attack-segment.md`](docs/09-attack-segment.md) | Kali 和 CALDERA 基础设施 | | [`docs/10-analysis-segment.md`](docs/10-analysis-segment.md) | FLARE、REMnux、CyberChef 和分析工作流 | | [`docs/11-screenshot-index.md`](docs/11-screenshot-index.md) | 截图证据索引 | | [`docs/12-validation-checklist.md`](docs/12-validation-checklist.md) | 已完成的验证清单 | | [`docs/13-diagram-reference.md`](docs/13-diagram-reference.md) | 图表索引、标题说明和源文件参考 | ## 截图证据 截图按区域归类在 `images/` 目录下: ``` images/analysis/ images/attack/ images/ndr/ images/pfsense/ images/proxy/ images/target/ images/vmware/ images/wazuh/ images/xfer/ ``` 截图的命名规范为: ``` ---.png ``` 示例: ``` pfsense-fw01-attack-firewall-rules-01.png wazuh-soc01-agent-list-01.png attack-atk02-caldera-docker-running-01.png ``` ## 安全提示 此仓库仅包含经过脱敏处理的文档、图表、截图、调查模板、检测笔记和未来的案例总结。 以下内容被刻意排除在此仓库之外: - pfSense XML 备份文件 - 私钥和凭据 - 恶意软件样本或受密码保护的恶意软件压缩包 - 原始的恶意软件 PCAP 文件 - CALDERA payload - 大型取证工件(例如内存转储或磁盘镜像) ## 未来工作 未来的案例工作将添加至: ``` cases/internal/ cases/attack-generated/ cases/malware-traffic-analysis/ ``` 计划的案例工作包括内部 SOC 告警分析报告、Kali 生成的验证案例、CALDERA 攻击者模拟案例,以及 malware-traffic-analysis[.]net 的 PCAP 调查。
标签:DAST, Metaprompt, SOC监控, x64dbg, 安全实验室, 恶意软件分析, 网络检测