Latte4Lab/homelab-SOC-project
GitHub: Latte4Lab/homelab-SOC-project
在隔离虚拟化环境中模拟网络攻击全流程并用 Splunk SIEM 进行日志检测与可视化响应的家庭实验室安全运营项目。
Stars: 0 | Forks: 0
# 🛡️ 家庭实验室网络安全检测项目
一个实操性的网络安全家庭实验室,通过自建的 SIEM pipeline 模拟真实攻击场景并进行检测。本项目作为面向 2026 年蓝队 / SOC 分析师岗位的求职作品集而构建。
## 🏗️ 实验室架构
Kali Linux(攻击机) — 192.168.80.129
Windows 11 VM(靶机 1) — 192.168.80.128
Ubuntu 24.04 VM(靶机 2) — 192.168.80.130
宿主机 / Splunk SIEM — 192.168.80.1
所有机器均运行在隔离的 VMware VMnet1 Host-Only 网络上。所有攻击流量都不会到达真实的互联网。日志通过 TCP 端口 9997 上的 Universal Forwarder 从靶机 VM 发送至 Splunk Enterprise。
## 🛠️ 工具与技术
| 工具 | 用途 |
|---|---|
| VMware Workstation Pro | 用于运行 VM 的 Hypervisor |
| Kali Linux | 攻击机 |
| Windows 11 | 靶机 1 |
| Ubuntu 24.04 | 靶机 2 |
| Splunk Enterprise 10.4 | SIEM — 日志收集与分析 |
| Splunk Universal Forwarder | 从靶机 VM 发送日志 |
| Sysmon (olafhartong 配置) | Windows 上丰富的端点遥测数据 |
| Nmap | 网络侦察 |
| Metasploit | 漏洞利用框架(阶段 2) |
## 📁 项目结构
| 文件夹 | 内容 |
|---|---|
| [phase1-recon/](./phase1-recon/) | Nmap 攻击笔记与截图 |
| [phase2-exploitation/](./phase2-exploitation/) | Metasploit 攻击笔记与截图 |
| [phase3-persistence/](./phase3-persistence/) | 持久化攻击笔记与截图 |
| [dashboard/](./dashboard/) | Splunk dashboard 文档与截图 |
| [detection-queries/](./detection-queries/) | 项目中使用的所有 SPL 查询 |
| [IR-report/](./IR-report/) | 最终的专业事件响应报告 |
## 🔴 攻击阶段
### ✅ 阶段 1 — 侦察
- 工具:Nmap
- 目标:Ubuntu VM (192.168.80.130)
- 检测方式:Splunk 中 /var/log/auth.log 的激增
- MITRE ATT&CK:T1595 — 主动扫描
### 🔄 阶段 2 — 初始访问(进行中)
- 工具:Metasploit
- 目标:在靶机 VM 上建立 reverse shell
- 检测目标:Sysmon EventID 1 和 EventID 3
### 🔲 阶段 3 — 持久化
- 目标:通过 shell 创建后门管理员用户
- 检测目标:Security EventID 4720 和 4732
## 📊 SOC Dashboard
在 Splunk Dashboard Studio 中构建了一个包含 5 个面板的实时监控 dashboard:
| 面板 | 可视化 | 用途 |
|---|---|---|
| 随时间变化的总事件数 | 柱状图 | 监控整体日志量 |
| 各主机事件数 | 环形图 | 跨 VM 的日志分布 |
| 各日志类型事件数 | 表格 | 日志 pipeline 健康状况 |
| 失败的身份验证尝试 | 折线图 | 检测扫描与暴力破解 |
| 高频来源 IP | 表格 | 识别可疑 IP |
## 🔍 迄今为止的关键检测
| 攻击 | 检测方法 | 证据 |
|---|---|---|
| Nmap 端口扫描 | Splunk 中 auth.log 的激增 | 1 秒内来自 192.168.80.129 的 9 个事件 |
## 📚 资源
- MITRE ATT&CK 框架:https://attack.mitre.org
- Splunk 文档:https://docs.splunk.com
- Sysmon olafhartong 配置:https://github.com/olafhartong/sysmon-modular
## 👤 作者
Putu Elang — 有志成为 SOC 分析师 / 蓝队成员
🎓 已获得 CompTIA Security+ (SY0-701) 认证
公开构建 | 目标于 2026 年求职
标签:CTI, Nmap, Sysmon, 安全实验环境, 密码管理, 虚拟驱动器