ayinkamiyeassia0-glitch/home-soc-lab

# 家庭 SOC 实验室 一个自建的、网段隔离的安全运营实验室，用于端到端地实践**检测工程、日志分析和事件响应**——从搭建基础设施到调查模拟攻击，并像 SOC 分析师记录真实案例一样撰写报告。  ## 我为什么构建它 阅读关于检测的知识与构建生成它们的 pipeline 并不相同。这个实验室为我提供了一个安全、隔离的环境，以便： - 生成真实的遥测数据（Windows 事件日志、Sysmon、网络流量） - 将数据转发到 SIEM 中并针对其编写检测规则 - 模拟攻击者技术并观察它们的触发过程 - 练习完整的 IR 闭环并记录每次调查 这里的所有内容都是实操。[`investigations/`](investigations/) 中的调查报告都是按照真实的工单格式撰写的。 ## 架构概览 该实验室被隔离在 FortiGate 防火墙后的三个 VLAN 中： | VLAN | 用途 | 关键主机 | |------|---------|-----------| | **10 — Security** | 监控与分析 | Security Onion (IDS/SIEM), Splunk, 分析师工作站 | | **20 — Corp** | 受防御的“生产”环境 | Windows AD/DC，装有 Sysmon 的 Win10/11 端点 | | **99 — Detonation** | 隔离的攻击靶场 | 受害者 VM + Kali，**无互联网出口** | 来自每个 VLAN 的日志都会流向 Security VLAN。Detonation VLAN 通过防火墙与 Corp 和互联网隔离，因此恶意软件测试不会逃逸。 完整的设计原理：[`docs/architecture/design.md`](docs/architecture/design.md)。 ## 仓库内容 ``` home-soc-lab/ ├── diagrams/ # Network architecture (SVG) ├── docs/ │ ├── architecture/ # Design decisions, data flow, threat model │ └── setup/ # Build guides for each component ├── configs/ # Sanitized config snippets (FortiGate, Security Onion) ├── investigations/ # Write-ups of simulated attacks (ticket style) └── scripts/ # Helper scripts (telemetry checks, etc.) ``` ## 调查 每份报告都遵循一致的格式——场景、检测、分析、ATT&CK 映射以及经验教训： 1. [对域的暴力破解](investigations/01-vpn-brute-force.md) — 身份验证日志分析，T1110 2. [从钓鱼邮件到宏执行](investigations/02-phishing-macro.md) — 邮件 + 端点关联，T1566 → T1059 3. [凭据转储与横向移动](investigations/03-cred-dump-lateral.md) — LSASS 访问和 PsExec，T1003 → T1021 ## 展示的技能 - 网络隔离和防火墙策略（FortiGate / VLANs） - SIEM 和 IDS 部署（Security Onion, Splunk） - 使用 Sysmon 进行端点遥测和日志转发 - 检测工程和告警分诊 - 攻击模拟和完整的事件响应生命周期 - 清晰的技术文档 ## 注意事项与安全 - 这里的所有主机名、IP 和用户都是**实验室值**，而非真实的基础设施。 - Detonation 网络没有出站连接；恶意软件测试被限制在范围内。 - 配置片段已经过**脱敏处理**——不包含真实的密钥、密码或公网 IP。 # home-soc-lab

标签：安全运营, 实验室, 库, 应急响应, 扫描框架, 网络安全, 隐私保护