Valeriop03/SocHomeLab

GitHub: Valeriop03/SocHomeLab

一个独立的 SOC 家庭实验室项目，整合 Wazuh、Sysmon 和 Sigma 规则，帮助蓝队人员在隔离环境中练习威胁检测和事件分诊。

Stars: 0 | Forks: 0

# SOC 家庭实验室 ![Wazuh](https://img.shields.io/badge/SIEM-Wazuh-blue) ![Sysmon](https://img.shields.io/badge/Telemetry-Sysmon-green) ![Sigma](https://img.shields.io/badge/Detection-Sigma-orange) ![MITRE](https://img.shields.io/badge/Framework-MITRE_ATT%26CK-red) ![Kali Linux](https://img.shields.io/badge/Attacker-Kali_Linux-orange) ## 概述本项目是一个独立的 SOC 家庭实验室，旨在在一个安全且隔离的环境中练习蓝队检测和事件分诊。它模拟了安全运营中心的核心工作流程：攻击者机器对 Windows 终端发起恶意活动，遥测数据被转发到 Wazuh SIEM，并对每个场景进行调查。 ## 架构 ![网络架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a2bdc37480212518.png) 完整的网络设计、机器规格和数据流请参阅 [`docs/architecture.md`](./docs/architecture.md)。 ## 仓库结构 ``` soc-home-lab/ ├── docs/ # architecture, setup guides ├── scenarios/ # attack -> detection -> triage, one folder each ├── detection-rules/ # Sigma rules (MITRE-mapped) └── incident-reports/ # formal triage reports ``` ## 场景 ✅ 已完成 / 🚧 进行中 / 📋 已规划。 | # | 场景 | MITRE 技术 | 状态 | |----|----------|-----------------|--------| | 01 | [SQLi WebApp](./scenarios/01-web-sqli/README.md) | T1190 — Web 应用程序 SQL 注入 | ✅ | | 02 | [凭证转储](./scenarios/02-credential-dumping/README.md) | T1003.001 — 凭证转储 (Mimikatz) | ✅ | | 03 | [持久化](./scenarios/03-persistence/README.md) | T1053 / T1547 — 持久化 - 计划任务或注册表 Run 键 | ✅ | | 04 | [发现](./scenarios/04-discovery/README.md) | T1057, T1082 — 发现 / 侦察 | 📋 | ## 检测规则自定义的 Sigma 检测规则位于 [`detection-rules/`](./detection-rules/) 中，每条规则都映射到一项 MITRE ATT&CK 技术。 ## 工具与技术 - **SIEM:** Wazuh - **终端遥测:** Sysmon (SwiftOnSecurity 配置) - **检测格式:** Sigma - **攻击模拟:** Atomic Red Team - **框架:** MITRE ATT&CK ## 关于由 Valerio Porcile 构建 —— 一名正向蓝队安全转型的软件开发者。 [LinkedIn](https://www.linkedin.com/in/valerio-porcile/)

标签：AMSI绕过, CISA项目, Wazuh, 威胁检测, 安全, 安全实验室, 无线安全, 超时处理, 防御工程