liban1gabaire/-SOC-Home-Lab

# -SOC-Home-Lab 使用 Wazuh SIEM 的 SOC 家庭实验室 — 攻击模拟、告警调查和事件响应文档 ## 概述 使用 Wazuh SIEM 和 osTicket 工单系统构建了一个功能完整的 SOC 环境。 将一台 Windows 11 终端作为受监控的 agent 连接。模拟了真实攻击， 调查了告警，并将调查结果记录为正式的事件报告。 ## 使用的工具 - Wazuh SIEM - osTicket 工单系统 - Windows 11 终端（受监控的 agent） - Nmap - AbuseIPDB & GreyNoise（威胁情报） ## 展示的技能 - SIEM 部署与配置 - 日志分析与告警分类 - MITRE ATT&CK 框架映射 - 事件文档与报告 - 工单工作流（开启、调查、关闭） ## 已调查的事件 - 事件 001：登录失败检测（Event ID 4625） - 事件 002：用户账户更改（Event ID 4738） - 事件 003：多次 Windows 登录失败 / 暴力破解（Event ID 4625，Rule 60204） ## 文档 有关完整的事件报告和工单截图，请参阅 project_1.pdf。

标签：CTI, Wazuh, 威胁情报, 安全实验室, 安全运营, 库, 应急响应, 开发者工具, 扫描框架