Djaberi/home-soc-lab

# 家庭 SOC 实验室 一个自建的、分段隔离的安全运营实验室，用于端到端实践**检测工程、日志分析和事件响应** —— 从搭建基础设施到调查模拟攻击，并像 SOC 分析师记录真实案例一样撰写报告。  ## 为什么构建这个实验室 阅读关于检测的资料与亲手构建生成这些检测的 pipeline 是不同的。这个实验室为我提供了一个安全、隔离的环境，用于： - 生成真实遥测数据（Windows 事件日志、Sysmon、网络流量） - 将其转发至 SIEM 并针对其编写检测规则 - 模拟攻击者技术并观察其触发过程 - 实践完整的 IR 闭环并记录每次调查 这里的所有内容都基于实操。[`investigations/`](investigations/) 中的调查报告编写得就如同真实的工单一般。 ## 架构概览 该实验室在 FortiGate 防火墙后分为三个 VLAN： | VLAN | 用途 | 主要主机 | |------|---------|-----------| | **10 — Security** | 监控与分析 | Security Onion (IDS/SIEM)、Splunk、分析师工作站 | | **20 — Corp** | 受防御的“生产环境” | Windows AD/DC、装有 Sysmon 的 Win10/11 终端 | | **99 — Detonation** | 隔离的攻击靶场 | 受害者 VM + Kali，**无互联网出站** | 来自所有 VLAN 的日志都会流向 Security VLAN。Detonation VLAN 与 Corp 和互联网进行了防火墙隔离，因此恶意软件测试不会逃逸出去。 完整的设计原理：[`docs/architecture/design.md`](docs/architecture/design.md)。 ## 仓库内容 ``` home-soc-lab/ ├── diagrams/ # Network architecture (SVG) ├── docs/ │ ├── architecture/ # Design decisions, data flow, threat model │ └── setup/ # Build guides for each component ├── configs/ # Sanitized config snippets (FortiGate, Security Onion) ├── investigations/ # Write-ups of simulated attacks (ticket style) └── scripts/ # Helper scripts (telemetry checks, etc.) ``` ## 调查报告 每份报告都遵循一致的格式 —— 场景、检测、分析、ATT&CK 映射和经验教训： 1. [暴力破解进入域](investigations/01-vpn-brute-force.md) — 身份验证日志分析，T1110 2. [网络钓鱼到宏执行](investigations/02-phishing-macro.md) — 邮件 + 终端关联，T1566 → T1059 3. [凭据转储与横向移动](investigations/03-cred-dump-lateral.md) — LSASS 访问与 PsExec，T1003 → T1021 ## 展示的技能 - 网络隔离与防火墙策略 (FortiGate / VLAN) - SIEM 与 IDS 部署 (Security Onion、Splunk) - 基于 Sysmon 的终端遥测与日志转发 - 检测工程与告警分诊 - 攻击模拟与完整的事件响应生命周期 - 清晰的技术文档 ## 注意事项与安全 - 这里的所有主机名、IP 和用户均为**实验室测试值**，而非真实的基础设施。 - Detonation 网络没有对外连接；恶意软件测试被严格限制在内部。 - 配置代码片段已经过**脱敏处理** —— 不包含真实的密钥、密码或公网 IP。

标签：安全运营, 实验室环境, 扫描框架, 网络安全, 隐私保护