zcrumley/SOC-Lab

# SOC Analyst 家庭实验室 ## 概述 本项目记录了一个家庭 SOC 实验室的设计、搭建和使用过程，旨在练习蓝队安全监控、端点遥测数据收集、日志分析和事件调查。 该实验室使用 Wazuh 作为 SIEM/XDR 平台，使用配置了 Sysmon 的 Windows 11 端点进行详细的事件日志记录，并使用 Kali Linux 攻击机来生成受控的安全事件。个人笔记本电脑也通过 Wazuh agent 进行监控，以模拟环境中的额外端点。 ## 目标 - 构建一个功能完备的 SOC 风格监控环境 - 收集并分析端点安全日志 - 在 Windows 系统上配置 Wazuh agent - 使用 Sysmon 增强 Windows 遥测 - 在受控实验室中模拟常见攻击行为 - 使用结构化的事件响应流程调查告警 - 以反映真实世界 SOC 工作流的方式记录发现 ## 实验室架构 | 组件 | 用途 | |---|---| | Ubuntu Server 虚拟机 | 承载 Wazuh manager 和 dashboard | | Windows 11 虚拟机 | 受监控端点/受害机 | | Kali Linux 虚拟机 | 攻击模拟机 | | 个人笔记本电脑 | 使用 Wazuh agent 的额外受监控端点 | | Wazuh | 用于告警和日志分析的 SIEM/XDR 平台 | | Sysmon | Windows 遥测与进程/事件监控 | ## 展示技能 - SIEM 监控 - 端点检测与响应概念 - Windows 事件日志分析 - Sysmon 配置 - Wazuh agent 部署 - 告警分诊 - 事件调查 - 基础威胁模拟 - 网络与基于主机的安全监控 - 技术文档编写 ## 检测场景 | 场景 | 状态 | |---|---| | Windows agent 已连接到 Wazuh | 已完成 | | Sysmon 已安装并转发日志 | 已完成 | | 登录失败监控 | 进行中 | | PowerShell 活动检测 | 已计划 | | 网络扫描检测 | 已计划 | | 暴力破解模拟 | 已计划 | | 使用 EICAR 进行恶意软件测试文件检测 | 已计划 | ## 截图 文档中包含的截图展示了以下内容： - Wazuh dashboard 访问 - 已连接的 agent - 生成的告警 - 事件日志详情 - 调查工作流 ## 经验总结 该实验室有助于加深理解端点遥测、SIEM 告警和结构化调查工作流是如何在 SOC 环境中协同工作的。该项目还提供了排查 agent 故障、验证日志源以及以专业格式记录告警的实践经验。

标签：Wazuh, 安全实验环境, 安全运营, 扫描框架, 插件系统, 端点检测与响应, 脱壳工具