christian-anderson-socanalyst/home-soc-lab-sec-ops-engineering-build

# 🔐 家庭 SOC 实验室 | 安全运营工程 在受 SEC 监管的环境中拥有 4 年安全运营经验。在网络靶场中进行过实践操作。拥有一堆证书，且还在继续考取更多。 然而，我还在这里搭建家庭实验室。😄 绝对不是为了学习 Wazuh 是什么。 拥有自己的基础设施具有重大价值。从设计网络到晚上 11 点弄坏某些东西，然后再找出你弄坏它的原因和方式。这种拥有权与在别人的环境中工作是有区别的，而且这种区别体现在很难伪装的各个方面。 我的代码库记录了所有内容（网络分段、Hypervisor 安装、SIEM 部署等），包括针对故意设计的易受攻击目标的攻防演练。除了成功之处，我还记录了失败、失误以及沿途每个决策背后的原因。 为展示而搭建。为分享而记录。🔧 ## 🖥️ 硬件 | 设备 | 角色 | 关键规格 | |---|---|---| | Dell Precision 7740 | Proxmox Hypervisor | Xeon E-2286M, 128GB RAM, VM 专用 1TB NVMe SSD | | Dell Precision 5530 | 管理工作站 | Xeon E-2176M, 64GB RAM | | MikroTik hEX (RB750Gr3) | 实验室网关 / 防火墙 | 5端口千兆, RouterOS | | MikroTik CSS610-8G-2S+IN | 可网管交换机 | 8x 千兆, 2x SFP+, SwOS, 802.1Q VLAN | | CyberPower CP1000PFCLCD | UPS | 1000VA/600W, 纯正弦波, AVR, 10个插座 | ## 🛡️ 零信任设计原则 “永不信任，始终验证”经常被到处提及。我是认真的。😤 零信任不是你可以买到的东西。它是一种设计方法，假设一切（每个用户、每个系统、每个应用程序等）都有被攻陷的风险，直到被明确验证。这种假设塑造了此次构建中的每一个决策，从 VLAN 的分段方式到管理访问控制。 - ✅ **明确验证** — 仅允许从管理 VLAN 进行管理访问。无一例外。 - ✅ **禁止 any-to-any 防火墙规则** — 每个 VLAN 间路由规则都是明确且经过深思熟虑的。如果没有明确允许，则予以拒绝。 - ✅ **最小权限** — 账户和服务仅拥有其运行所需的访问权限。仅此而已。 - ✅ **分离管理员和用户账户** — 管理员账户绝不用于日常活动。 - ✅ **受害者 VLAN 隔离** — 受害者 VLAN 上的系统在任何情况下都不得主动发起到管理 VLAN 的连接。 - ✅ **将攻击者 VLAN 视为敌对环境** — 默认情况下，在防火墙层将来自攻击者 VLAN 的流量视为不受信任。 - ✅ **认为受害者系统可能已被攻陷** — 在设计上，始终假设受害者 VLAN 系统已被攻陷。 - ✅ **全面日志记录** — 每个 VLAN 都会将日志输入到 SIEM 中。没有任何东西不被监控。 - ✅ **分段限制横向移动** — 网络分段确保受损系统无法在实验室环境中自由移动。 - ✅ **本地 AI 推理** — LLM 处理完全通过 Ollama 在本地运行。没有警报数据、日志内容或 IOC 详情被传输到外部 AI API。 - 🔜 **Azure 账户的 MFA** — 在所有 Azure 账户上强制执行多因素身份验证。*(第 5 阶段)* - 🔜 **堡垒机/跳板机访问** — 敏感的云系统只能通过专用的跳板机访问。*(第 5 阶段)* - 🔜 **Azure 中的最小权限** — 在所有 Azure 资源上强制执行 RBAC，且无常驻管理员访问权限。*(第 5 阶段)* 如果没有被记录下来，就等于没有发生。上述每个原则都映射到此代码库中某处的具体配置决策。🔒 ## 🏗️ 架构概述 在与所有其他东西（你的恶意软件样本、攻击工具和故意设计的易受攻击系统）相同的网络中运行安全实验室不是一个好主意。这个实验室的一切都是围绕这一个限制条件设计的。 MikroTik hEX 防火墙和 CSS610 可网管交换机在五个 (5) 隔离的网络分段之间强制执行 VLAN 分离（使用 IEEE 802.1Q）。有严格的 VLAN 间路由规则规定了哪个分段可以与哪个分段通信。🔒 1. 管理 2. 攻击者 3. 受害者 4. 安全工具 5. 完全气隔沙箱 虚拟化层运行在配备 128GB RAM 和专用 Gen 4 NVMe SSD 且运行 Proxmox 的 Dell Precision 7740 移动工作站上。我会在实验室运行任何内容之前进行快照，为每个 VM 分配资源，并拥有一台位于专用 VLAN 上的管理工作站，该工作站具有连接到防火墙的直接上行链路。即使整个实验室变成垃圾堆上的一团火，管理平面也能保持干净。🔥 ## 🗺️ 构建阶段 这是一个持续进行的项目。阶段是在完成时勾选的，而不是在我想到它们时。👷 - [ ] **[第 1 阶段：网络基础与 Hypervisor 部署](phase-1-network-foundation/README.md)** — VLAN 分段、MikroTik 配置以及在专用硬件上安装 Proxmox。 - [ ] **第 2 阶段：蓝队技术栈** — 部署 Wazuh SIEM 和 Security Onion，配置 Agent 并验证日志摄取。 - [ ] **第 3 阶段：攻击/防御靶场** — Kali Linux 攻击者 VM 对抗故意设计的易受攻击目标，并附带记录在案的实验室练习。 - [ ] **第 4 阶段：威胁情报集成** — 通过 AlienVault OTX、Abuse.ch 和 MISP 将实时 IOC feed 接入 SIEM 技术栈。 - [ ] **第 5 阶段：混合 Azure 扩展** — 通过 Site-to-Site VPN 将本地实验室扩展到 Azure，并在其上叠加云原生安全工具。 - [ ] **第 6 阶段：AI 辅助的 SOC 自动化** — 通过 Ollama 部署本地 LLM，并使用 Agentic 工作流自动化一级（Tier 1）警报分类、IOC 富化、日志关联和交接班报告，使用工具包括 LangChain、n8n 以及 Wazuh 和 Security Onion 的 API。 ## 🛠️ 工具与技术 ### 🌐 网络 | 工具 | 描述 | |---|---| |  | 实验室网关、防火墙和 VLAN 间路由 | |  | 通过 802.1Q 实施可网管交换机 VLAN 强制隔离 | ### 💻 虚拟化 | 工具 | 描述 | |---|---| |  | 在专用硬件上运行所有实验室 VM 的 Hypervisor | ### 🔒 安全工具 | 工具 | 描述 | |---|---| |  | 用于日志聚合和告警的开源 SIEM 和 EDR | |  | 网络安全监控和入侵检测 | |  | 用于实验室练习的专用攻击者 VM | ### ☁️ 即将推出 | 工具 | 描述 | |---|---| |  | 用于混合实验室架构的 Site-to-Site VPN 扩展 | |  | 自建威胁情报平台 | |  | 开放威胁交换 IOC feed 集成 | |  | 恶意软件和 C2 指标 feed | ## 📡 网络拓扑图