cojjjj/Home-SOC-Detection-Lab

# 🛡️ 家庭 SOC 检测实验室 一个使用 Wazuh、Sysmon、Windows 事件日志和自定义检测规则构建的家庭安全运营中心 (SOC) 实验室，旨在模拟真实的安全监控和事件响应工作流程。 ## 🎯 项目目标 - 部署 SIEM 平台 - 收集并分析安全日志 - 创建自定义检测规则 - 模拟攻击者技术 - 调查告警 - 记录事件响应流程 - 将检测映射到 MITRE ATT&CK ## 🏗️ 实验室架构 ``` Windows Endpoint │ ▼ Sysmon │ ▼ Wazuh Agent │ ▼ Wazuh Manager │ ▼ Alerts & Dashboards ``` ## 🔍 检测用例 - 可疑的 PowerShell 活动 - 失败登录的暴力破解尝试 - 创建新的本地管理员 - 持久化机制 - 凭据转储活动 - 未经授权的进程执行 ## 🛠️ 使用的工具 - Wazuh - Sysmon - Windows 事件日志 - Sigma 规则 - Ubuntu Server - VirtualBox - PowerShell - MITRE ATT&CK 框架 ## 📂 仓库结构 ``` architecture/ attack-simulations/ detections/ incident-reports/ screenshots/ setup/ ``` ## 📈 展示的技能 - SIEM 部署 - 检测工程 - 威胁狩猎 - 日志分析 - 事件响应 - Windows 安全监控 - SOC 运营 ## 🚧 项目状态 目前正在构建实验室环境并实施检测规则。

标签：AI合规, Sysmon, Wazuh, 安全运营, 库, 应急响应, 扫描框架