BOusmane-Cyber/SOC-HomeLab

# 🛡️ SOC Home Lab — 威胁检测与响应 这是一个完整的检测实验室，展示了威胁的完整生命周期：**攻击 → 生成日志 → 检测 → 响应**。每项检测都映射到 **MITRE ATT&CK** 框架。 ## 🎯 项目目标 - 搭建真实的检测基础设施（SIEM、Endpoint 日志记录、AD） - 模拟映射到 MITRE ATT&CK 的受控攻击 - 开发检测规则（Sigma 格式）并进行调优 - 编写事件响应 Playbook 文档 - （加分项）以类似 SOAR 的方式自动化响应操作 ## 🧱 架构 查看 [`docs/architecture.md`](docs/architecture.md) 了解详情与架构图。 | VM | 角色 | OS | |----|------|----| | `SIEM-01` | 日志收集与分析 | Wazuh / Ubuntu | | `WIN-01` | 受害者机器 + Active Directory | Windows Server / 10 | | `KALI-01` | 攻击机 | Kali Linux | 隔离网络 (host-only) — 无互联网暴露。 ## 🛠️ 技术栈 - **SIEM**：Wazuh (open-source) - **Endpoint logging**：Sysmon (SwiftOnSecurity 配置) + Windows Event Logs - **对手模拟**：Atomic Red Team - **检测格式**：Sigma - **参考框架**：MITRE ATT&CK - *(可选)* ** incident 管理**：TheHive — **SOAR**：Shuffle ## 📂 仓库结构 ``` soc-home-lab/ ├── README.md ← tu es ici ├── docs/ │ └── architecture.md ← schéma réseau + détail des VM ├── attacks/ ← journal des attaques simulées ├── detections/ ← une fiche par détection (le cœur du projet) │ ├── _TEMPLATE.md │ └── T1110-bruteforce-rdp.md ← exemple complet ├── playbooks/ ← procédures de réponse à incident │ ├── _TEMPLATE.md │ └── bruteforce-rdp.md ← exemple complet └── assets/ ← captures d'écran, schémas ``` ## 📊 检测覆盖率 | ATT&CK ID | 技术 | 战术 | 状态 | |-----------|-----------|----------|--------| | T1110 | Brute Force (RDP) | Credential Access | ✅ 已检测 | | _待补充_ | | | 🔲 | ## 🚀 项目阶段 1. ✅ 基础设施（VM + 隔离网络） 2. ✅ 日志集中化（Sysmon → SIEM） 3. ✅ 部署 SIEM（Wazuh） 4. 🔲 攻击模拟（Atomic Red Team） 5. 🔲 开发检测规则 6. 🔲 响应与自动化 ## 📝 展示技能 `SIEM` · `Wazuh` · `MITRE ATT&CK` · `Sysmon` · `日志分析` · `Threat Detection` · `Sigma` · `Incident Response` · `Active Directory`

标签：Cloudflare, IPS, MITRE ATT&CK, Sigma规则, Terraform 安全, Wazuh, 威胁检测与响应, 安全实验环境, 安全运营中心(SOC), 目标导入, 速率限制