Sahil110102/SOC-Home-Lab-for-Malware-Detection

# 使用 Splunk、Sysmon、Windows 和 Kali Linux 构建 SOC 家庭实验室 ## 概述 本项目展示了如何实现一个安全运营中心 (SOC) 家庭实验室，旨在模拟真实的监控环境。其目标是利用行业标准的安全工具，获得端点监控、日志分析、威胁检测和 SIEM 操作的实战经验。 该实验室包含一台配置了 Sysmon（用于端点遥测数据收集）和 Splunk Enterprise（用于集中式日志管理）的 Windows 10 虚拟机。同时，使用了一台 Kali Linux 虚拟机来生成用于监控和调查目的的安全相关活动。 ## 项目目标 * 构建一个隔离的网络安全实验室环境。 * 部署和配置 Splunk Enterprise。 * 部署和配置 Microsoft Sysmon。 * 生成端点遥测数据和安全事件。 * 监控进程创建和网络活动。 * 使用 Splunk 分析日志。 * 获取 SOC 分析师的实践经验。 ## 实验室架构 ``` +---------------------+ | Kali Linux | | 192.168.20.11 | | Security Testing VM | +----------+----------+ | | | Internal Network (SaNet) | | +----------+----------+ | Windows 10 VM | | 192.168.20.10 | | Sysmon | | Splunk Enterprise | +---------------------+ ``` ### 网络配置 #### 适配器 1 * NAT * Internet 访问 #### 适配器 2 * 内部网络 (SaNet) * Kali 和 Windows 之间的通信 ## 使用的技术 | 技术 | 用途 | | -------------------- | ------------------------ | | VirtualBox | 虚拟化平台 | | Windows 10 | 受监控的端点 | | Kali Linux | 安全测试环境 | | Sysmon | 端点遥测数据收集 | | Splunk Enterprise | SIEM 平台 | | Nmap | 网络侦察 | | Windows Event Viewer | 事件验证 | ## 安装与配置 ### 步骤 1：创建虚拟机 * Windows 10 虚拟机 * Kali Linux 虚拟机 ### 步骤 2：配置网络 #### Windows 虚拟机 适配器 1 → NAT 适配器 2 → 内部网络 (SaNet) #### Kali Linux 虚拟机 适配器 1 → 内部网络 (SaNet) ### 步骤 3：配置静态 IP 地址 #### Windows ``` IP Address: 192.168.20.10 Subnet Mask: 255.255.255.0 ``` #### Kali Linux ``` IP Address: 192.168.20.11 Subnet Mask: 255.255.255.0 ``` ### 步骤 4：安装 Splunk Enterprise * 下载 Splunk Enterprise * 在 Windows 虚拟机上安装 * 配置管理员账户 * 验证 Web 界面 ``` http://localhost:8000 ``` ### 步骤 5：安装 Sysmon * 下载 Sysmon * 安装 Sysmon 服务 * 验证 Sysmon 操作日志 Event Viewer： ``` Applications and Services Logs → Microsoft → Windows → Sysmon → Operational ``` ## 检测规则 ### 进程创建 ``` index=* EventCode=1 ``` ### 网络连接 ``` index=* EventCode=3 ``` ### PowerShell 活动 ``` index=* EventCode=1 Image="*powershell.exe" ``` ### 文件创建 ``` index=* EventCode=11 ``` ### DNS 查询 ``` index=* EventCode=22 ``` ## 安全监控活动 以下活动受到了监控和分析： * 网络扫描 * 进程创建事件 * 网络连接事件 * 文件创建事件 * DNS 查询监控 * Windows 端点活动 * 日志关联与调查 ## 截图 ### 实验室架构 参见： ``` architecture/lab-architecture.png ``` ### Splunk Dashboard 参见： ``` screenshots/splunk-dashboard.png ``` ### Sysmon 事件 参见： ``` screenshots/sysmon-events.png ``` ### Nmap 扫描结果 参见： ``` screenshots/nmap-detection.png ``` ## 展示的核心技能 * 安全运营中心 (SOC) * SIEM 管理 * Splunk Enterprise * Sysmon 部署 * 日志分析 * 端点监控 * 威胁检测 * 事件关联 * Windows 安全监控 * 网络分析 ## 经验总结 * 端点遥测数据收集的重要性。 * Sysmon 如何提升 Windows 的可见性。 * SIEM 日志摄取和分析工作流。 * 网络通信故障排除。 * 事件调查和威胁检测基础知识。 * 构建和维护隔离的网络安全实验室环境。 ## 未来改进 * MITRE ATT&CK 映射 * 自定义检测规则 * Splunk Dashboard * 告警与通知 * 威胁狩猎用例 * 额外的日志源 * 多主机监控环境 ## 作者 **Sahil Bhosale** 网络安全爱好者 | 有志成为 SOC 分析师 | Splunk & Sysmon 家庭实验室项目 LinkedIn：在此处添加您的 LinkedIn 个人资料链接。 GitHub：在此处添加您的 GitHub 个人资料链接。

标签：AMSI绕过, CTI, FOFA, Sysmon, 威胁检测, 安全运营中心, 插件系统, 网络映射, 速率限制