igorpereirabarba/home-soc-lab
GitHub: igorpereirabarba/home-soc-lab
该项目构建了一个面向初级安全分析师的家庭 SOC 实验室,用于练习 SIEM 监控、日志分析、威胁检测与事件响应等核心安全运营技能。
Stars: 0 | Forks: 0
# 家庭 SOC 实验室
## 项目概述
本项目记录了一个初级家庭安全运营中心 (SOC) 实验室的构建过程,旨在练习安全监控、日志分析、警报调查和事件响应。
该实验室的目标是积累 SOC 分析师所用工具和概念的实践经验,包括 SIEM 监控、Windows Event Logs、Linux 日志、endpoint 活动、网络扫描以及技术文档编写。
## 职业目标
创建此实验室是我迈向成为一名 SOC Analyst / Cybersecurity Analyst 的一部分。该项目侧重于培养以下方面的实用技能:
* 安全监控
* 日志分析
* 事件响应
* SIEM 警报调查
* Endpoint 安全
* 网络流量分析
* 威胁检测
* 技术文档编写
## 实验环境
该实验室将使用虚拟机来模拟一个小型企业环境。
| 系统 | 用途 |
| -------------- | -------------------------------- |
| Windows 10/11 VM | 工作站和 endpoint 日志源 |
| Ubuntu Server VM | Linux 服务器和日志源 |
| Kali Linux VM | 测试和扫描机 |
| Wazuh SIEM | 日志收集、监控和警报 |
## 计划使用的工具
* VirtualBox
* Windows Event Viewer
* Wazuh SIEM
* Sysmon
* Ubuntu Server
* Kali Linux
* Nmap
* Wireshark
* PowerShell
* Linux 命令行
## 计划网络拓扑图
```
Host Laptop
│
├── Windows VM
│ └── Sends Windows logs to Wazuh
│
├── Ubuntu Server VM
│ └── Sends Linux logs to Wazuh
│
├── Kali Linux VM
│ └── Simulates scanning and testing activity
│
└── Wazuh Server
└── Collects and displays security alerts
```
## 项目阶段
### 阶段 0:文档编写
在安装工具之前,此阶段侧重于创建项目结构、记录实验室目的、确定计划资产并定义学习目标。
### 阶段 1:Windows 日志记录
此阶段将重点关注 Windows Event Viewer、失败的登录尝试、成功的登录、系统日志、应用程序日志以及基本的 endpoint 调查。
### 阶段 2:SIEM 设置
此阶段将侧重于安装 Wazuh、连接 endpoint agent、收集日志以及审查安全警报。
### 阶段 3:网络扫描检测
此阶段将使用 Kali Linux 和 Nmap 在实验室环境内模拟基本的侦察活动。
### 阶段 4:事件响应文档
此阶段将侧重于根据实验室中生成的警报编写 SOC 风格的调查笔记和事件报告。
## 计划的 SOC 调查
### 1. 失败登录检测
目标:检测 Windows endpoint 上的失败登录尝试。
练习技能:
* Windows Event Viewer
* 安全日志
* 失败的身份验证调查
* SOC 风格的文档编写
### 2. Nmap 扫描检测
目标:使用 Kali Linux 扫描实验室机器并识别可疑的网络活动。
练习技能:
* Nmap
* 端口扫描
* 网络侦察
* 警报审查
* 事件分析
### 3. 可疑的 PowerShell 活动
目标:在 Windows endpoint 上生成并调查可疑的 PowerShell 活动。
练习技能:
* PowerShell 日志记录
* Windows 安全监控
* Endpoint 调查
* 检测文档编写
## 我正在学习的内容
通过这个实验室,我正在学习 SOC 分析师如何收集日志、审查警报、调查可疑活动、记录发现结果以及建议响应措施。
该项目加强了我对以下方面的理解:
* Windows 安全事件
* Linux 系统活动
* SIEM 仪表板
* 警报调查
* 网络侦察
* 事件响应工作流
* 网络安全文档编写
## 未来改进
计划的改进包括:
* 添加 Sysmon 高级日志记录
* 添加 MITRE ATT&CK 映射
* 添加钓鱼邮件分析
* 使用 Nessus Essentials 或 OpenVAS 添加漏洞扫描
* 添加 Splunk 或 Microsoft Sentinel 练习
* 创建更多事件报告
* 为每个阶段添加截图
标签:AI合规, AMSI绕过, CTI, SOC实验室, Wazuh, 威胁检测, 安全实验环境, 安全运营, 安全运营中心, 扫描框架, 网络映射