HARISH100704/home-soc-lab

GitHub: HARISH100704/home-soc-lab

基于 Wazuh、ELK 和 Suricata 构建的家庭 SOC 实验室，集成多源威胁情报与 Python 自动化响应引擎，实现安全告警检测、富化与自动处置。

Stars: 0 | Forks: 0

# 🛡️ 家庭 SOC 实验室 ![状态](https://img.shields.io/badge/Status-Active-brightgreen) ![Python](https://img.shields.io/badge/Python-3.11-blue) ![Wazuh](https://img.shields.io/badge/Wazuh-4.8-orange) ![Docker](https://img.shields.io/badge/Docker-Compose-blue) ![许可证](https://img.shields.io/badge/License-MIT-lightgrey) ## 仪表盘预览 ![SOC 仪表盘](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/da8cde0e34111620.png) ## 实验室设置 | 机器 | 角色 | |---------|------| | Windows 11 主机 | SOC Server — 运行 Docker (Wazuh + ELK) | | Windows 10 虚拟机 | 受害者 — 通过 Wazuh Agent 进行监控 | | Kali Linux 虚拟机 | 攻击者 — 运行模拟攻击 | ## 架构 ``` ┌──────────────────────────────────────────────────────┐ │ HOME NETWORK / NAT Network │ │ │ │ ┌─────────────┐ ┌──────────────────────┐ │ │ │ Kali Linux │────────▶│ Windows 10 VM │ │ │ │ (Attacker) │ attack │ Wazuh Agent │ │ │ └─────────────┘ └──────────┬───────────┘ │ │ │ logs │ │ ┌──────────▼───────────┐ │ │ │ Windows 11 Host │ │ │ │ │ │ │ │ ┌─────────────────┐ │ │ │ │ │ Wazuh Manager │ │ │ │ │ │ + ELK Stack │ │ │ │ │ │ + Suricata IDS │ │ │ │ │ └────────┬────────┘ │ │ │ │ │ │ │ │ │ ┌────────▼────────┐ │ │ │ │ │ Python SOC │ │ │ │ │ │ Engine │ │ │ │ │ │ (Enrichment + │ │ │ │ │ │ Auto-Response) │ │ │ │ │ └─────────────────┘ │ │ │ └───────────────────────┘ │ └──────────────────────────────────────────────────────┘ ``` ## 实测结果 | 指标 | 结果 | |--------|--------| | 检测到的总警报数 | **544+** | | 严重警报 (Level 12+) | **2** | | 暴力破解检测率 | **100%** | | 后门账户检测 | **100%** (T1098 在 < 3 秒内检测到) | | 发现的 CIS Benchmark 违规项 | **266 个中等 + 163 个低危** | | 集成的威胁情报 API | **3 个可用** (VT, AbuseIPDB, OTX) | | 已知恶意 IP 评分 | **95/100** (185.220.101.45 — Tor 出口节点) | ## MITRE ATT&CK 覆盖范围 | 检测项 | ATT&CK 技术 | 战术 | 工具 | |-----------|-----------------|--------|------| | SSH / RDP 暴力破解 | T1110 | 凭证访问 | Wazuh Rule 100001 | | 创建后门账户 | T1098 | 持久化 | Wazuh Rule 60109 | | 修改管理员组 | T1484 | 权限提升 | Wazuh Rule 60154 | | PowerShell 下载源 | T1059.001 | 执行 | Wazuh Rule 100022 | | 反向 Shell / C2 | T1071 | 命令与控制 | Suricata Rule 9000021 | | 端口扫描侦察 | T1046 | 发现 | Suricata Rule 9000001 | | 新增 Windows 服务 | T1543.003 | 持久化 | Wazuh Rule 61138 | | 文件完整性违规 | T1565.001 | 影响 | Wazuh Syscheck | | 滥用有效账户 | T1078 | 初始访问 | Wazuh Rule 60106 | | 禁用安全工具 | T1562.001 | 防御规避 | Wazuh Rule 506 | ## 技术栈 | 层级 | 工具 | |-------|------| | SIEM | Wazuh 4.8 | | 日志存储 | Elasticsearch (Wazuh Indexer) | | 仪表盘 | Kibana (Wazuh Dashboard) | | 网络 IDS | Suricata + Emerging Threats Rules | | 自动化 | Python 3.11 | | 容器 | Docker + Docker Compose | ## 威胁情报 API | API | 用途 | 免费额度 | |-----|---------|-----------| | [VirusTotal](https://www.virustotal.com/gui/join-us) | 跨越 70+ AV 引擎的 IP/hash 信誉 | 500 次/天 | | [AbuseIPDB](https://www.abuseipdb.com/register) | 社区 IP 滥用评分 | 1000 次检查/天 | | [AlienVault OTX](https://otx.alienvault.com/api) | IOC pulses、威胁行为者上下文 | 免费 | | [Greynoise](https://www.greynoise.io/signup) | 过滤背景噪音与针对性攻击 | 免费 (社区版) | | [Shodan](https://account.shodan.io) | 攻击者 IP 上的开放端口和 CVE | 有限免费 | ## 自动化响应流程 ``` High-Severity Alert (Wazuh Level ≥ 10) │ ▼ Enrich Source IP ┌──────────────────────────────┐ │ VirusTotal + AbuseIPDB │ │ + OTX + Greynoise │ └──────────────┬───────────────┘ │ Calculate Threat Score (0–100) │ ┌──────────┼──────────┐ │ │ │ < 30 30–79 ≥ 80 LOG NOTIFY AUTO-BLOCK ONLY Alert + Alert ``` ## 已执行的攻击模拟所有攻击均从 **Kali Linux 虚拟机** 针对 **Windows 10 虚拟机** 运行： ``` # 端口扫描 — 由 Suricata 在 < 1s 内检测到 nmap -sS -T4 -p 1-65535 192.168.22.129 # 后门账户 — 由 Wazuh 在 < 3s 内检测到 net user backdoor Password123! /add net localgroup administrators backdoor /add # 文件完整性违规 — 由 Wazuh syscheck 检测到 echo "malware simulation" > C:\Windows\System32\evil.txt # CIS Benchmark 审计 — 266 个中危发现 # 在 agent 连接时自动触发 ``` ## 快速开始 ``` git clone https://github.com/HARISH100704/home-soc-lab.git cd home-soc-lab/wazuh-docker-480/single-node docker-compose -f generate-indexer-certs.yml run --rm generator docker-compose up -d # 打开 https://localhost — 用户：admin / 密码：SecretPassword ``` 在 Windows 10 虚拟机上安装 agent： ``` .\scripts\install_agent_windows.ps1 -ManagerIP "YOUR_HOST_IP" ``` 从 Kali 模拟攻击： ``` bash scripts/attack_simulations.sh ``` ## 项目结构 ``` home-soc-lab/ ├── docker-compose.yml ├── .env.example ├── automation/ │ ├── soc_engine.py # Main automation loop │ ├── wazuh_client.py # Wazuh REST API client │ ├── enrichment/ │ │ ├── virustotal.py │ │ ├── abuseipdb.py │ │ ├── otx.py │ │ ├── greynoise.py │ │ └── shodan_lookup.py │ ├── response/ │ │ ├── notify.py # Alerts │ │ └── block_ip.py # iptables / blocklist │ └── threat_intel/ │ └── feed_puller.py # Daily OTX feed sync ├── wazuh/rules/ │ ├── brute_force.xml │ └── c2_detection.xml ├── suricata/rules/custom.rules ├── scripts/ │ ├── attack_simulations.sh │ └── install_agent_windows.ps1 └── docs/ ├── setup_guide.md └── playbooks.md ``` ## 简历摘要 ## 许可证 MIT — 可免费使用、分支和学习。

标签：ELK, Metaprompt, Wazuh, 安全实验环境, 安全运营, 扫描框架, 版权保护, 红队行动, 请求拦截, 越狱测试, 逆向工具