matheusdantas-sec/soc-homelab

# 🛡️ Homelab SOC 项目 — 虚拟公司  ## 📌 关于本项目 本项目记录了一个完整的**网络安全家庭实验室**的构建过程，模拟了一家虚拟公司的 IT 环境——包含边界防火墙、网络分段、Active Directory、终端、SIEM、IDS/IPS、事件响应自动化，以及一系列用于攻击性演练的易受攻击目标。 其目的是在实践中学习攻击是如何发生的，以及 SOC 如何遵循 **MITRE ATT&CK** 框架来检测、调查和响应事件。 ## 🖥️ 硬件清单 | 设备 | 角色 | 规格 | |---|---|---| | **备用 PC**（服务器） | 安全基础设施 — Proxmox VE | Intel i5 / 16GB RAM / 2TB HD / 3x NICs | | **主力 PC** | 企业环境 — VMware Workstation Pro | AMD Ryzen 5 4600G / 16GB RAM / 500GB SSD + 500GB HD | | **笔记本电脑** | 攻击者 — Kali Linux | Intel i3 / 4GB RAM / 500GB HD | | **DVR Hikvision** | 易受攻击的 CFTV 目标 | 8 通道 | ## 🌐 网络架构 ``` INTERNET │ ROTEADOR DOMÉSTICO │ ┌───────────────────────────────────────────┐ │ PC SECUNDÁRIO — Proxmox VE │ │ │ │ ┌─────────────────────────────────────┐ │ │ │ VM: fw-pfsense │ │ │ │ WAN → vtnet0 → vmbr1 → nic1 │ │ │ │ LAN → vtnet1 → vmbr0 → nic0 │ │ │ │ OPT1 → vtnet2 → vmbr2 → nic2 │ │ │ └─────────────────────────────────────┘ │ │ VM: Wazuh Manager (192.168.20.20) │ │ LXC: n8n (192.168.20.30) │ │ LXC: File Server (192.168.20.40) │ │ Suricata: IDS/IPS │ └───────────────────────────────────────────┘ │ │ REDE — MGMT REDE — HOSTS 192.168.10.0/24 192.168.20.0/24 │ │ Switch MGMT Switch HOSTS │ | PC Principal ┌───────────────┐ (Administrator) │ DVR Hikvision │ 192.168.20.x │ Kali Linux │ 192.168.20.x └───────────────┘ | PC Principal (VMware Workstation) | ┌───────────────┐ │ AD-DC01 │ 192.168.20.10 │ WIN10-CORP │ 192.168.20.11 │ UBUNTU-SRV │ 192.168.20.12 │ METASPLOITABLE│ 192.168.20.x └───────────────┘ ``` ### 地址分配表 | 设备 | 网络 | IP | 功能 | |---|---|---|---| | Proxmox VE (宿主机) | MGMT | `192.168.10.10` | Hypervisor | | pfSense — LAN | MGMT | `192.168.10.1` | MGMT 网关 | | pfSense — OPT1 | HOSTS | `192.168.20.1` | HOSTS 网关 | | AD-DC01 | HOSTS | `192.168.20.10` | AD / DNS / DHCP | | WIN10-CORP | HOSTS | `192.168.20.11` | 企业终端 | | UBUNTU-SRV | HOSTS | `192.168.20.12` | Apache / SSH | | Wazuh Manager | HOSTS | `192.168.20.20` | SIEM / XDR | | n8n | HOSTS | `192.168.20.30` | 自动化 | | File Server | HOSTS | `192.168.20.40` | Samba / 300GB | | Metasploitable 2 | HOSTS | DHCP | 渗透测试目标 | | DVR Hikvision | HOSTS | DHCP | CFTV 目标 | | Kali Linux | HOSTS | DHCP | 攻击者 | ## 🛠️ 技术栈 | 工具 | 功能 | |---|---| | **Proxmox VE** | Bare-metal Hypervisor（备用 PC） | | **pfSense** | 防火墙 / NAT / VPN / Suricata (IDS/IPS) | | **Suricata** | 集成在 pfSense 中的 inline IDS/IPS | | **Wazuh** | SIEM / XDR — 收集、关联与响应 | | **Sysmon** | Windows 终端上的高级遥测 | | **Active Directory** | 身份与策略管理 (GPOs) | | **n8n** | Playbook 自动化与事件响应 | | **Samba** | 300GB File Server，用于存储日志和证据 | | **VMware Workstation Pro** | 企业环境的 Hypervisor | | **Kali Linux** | 攻击性测试平台 | ## 🗺️ 构建阶段 | 阶段 | 描述 | 状态 | |---|---|---| | [阶段 1](docs/fase1/README.md) | Proxmox VE + pfSense + 网络分段 | ✅ 已完成 | | [阶段 2](docs/fase2/README.md) | 企业环境 — AD、Windows 10、Ubuntu 和 Metasploitable| ✅ 已完成 | | [阶段 3](docs/fase3/README.md) | Wazuh Manager + 代理 + Suricata | 🔄 进行中 | | [阶段 4](docs/fase4/README.md) | 自动化 (n8n) + File Server + VPN | ⏳ 待处理 | | [阶段 5](docs/fase5/README.md) | DVR Hikvision + Docker + 高级场景 | ⏳ 待处理 | ## 🧪 实践实验室 ### 🔴 红队 (`labs/redteam/`) | 实验室 | 技术 | MITRE ATT&CK | |---|---|---| | 网络侦察 | Nmap, Gobuster | T1046 — Network Service Discovery | | Metasploitable 漏洞利用 | Metasploit Framework | T1190 — Exploit Public-Facing Application | | Active Directory 攻击 | Pass-the-Hash, Kerberoasting, AS-REP Roasting | T1558, T1550 | | 横向移动 | PsExec, WMI | T1021 | | DVR Hikvision 漏洞利用 | CFTV CVEs | T1190 | | Pivoting | Kali → 内网 | T1572 | ### 🔵 蓝队 (`labs/blueteam/`) | 实验室 | 工具 | 目标 | |---|---|---| | 端口扫描检测 | Suricata + Wazuh | 识别侦察行为 | | 暴力破解检测 | Wazuh | 对登录尝试发出告警 | | AD 监控 | Wazuh + Sysmon | 检测可疑的用户创建行为 | | Suricata 日志分析 | Wazuh Dashboard | 调查恶意流量 | | 自动化响应 | n8n + Wazuh | 自动封禁攻击者 IP | | Threat Hunting | Wazuh | 识别异常行为 | ### 🎯 MITRE ATT&CK (`labs/mitre/`) 将实验室中执行的每一次攻击与 MITRE ATT&CK 框架的战术和技术进行映射，包括 Wazuh/Suricata 的检测（或未检测到）证据。 ## 📁 仓库结构 ``` projeto-ciberseguranca/ ├── README.md ← este arquivo ├── assets/ ← imagens gerais (arquitetura, topologia) ├── docs/ │ ├── fase1/ │ │ ├── README.md ← Proxmox + pfSense │ │ └── assets/ ← prints da fase 1 │ ├── fase2/ │ │ ├── README.md ← Ambiente corporativo │ │ └── assets/ ← prints da fase 2 │ ├── fase3/ │ │ ├── README.md ← Wazuh + Suricata │ │ └── assets/ │ ├── fase4/ │ │ ├── README.md ← n8n + File Server + VPN │ │ └── assets/ │ └── fase5/ │ ├── README.md ← DVR + Docker + Labs avançados │ └── assets/ └── labs/ ├── redteam/ ← cenários ofensivos ├── blueteam/ ← detecção e resposta └── mitre/ ← mapeamento MITRE ATT&CK ``` ## 🎯 最终目标 模拟虚拟公司完整的安全生命周期： ``` ATAQUE → DETECÇÃO → INVESTIGAÇÃO → RESPOSTA → DOCUMENTAÇÃO ``` 使用真实的市面工具和流程，映射到 MITRE ATT&CK 框架，生成文档化的证据以丰富专业作品集。 ## ⚠️ 免责声明 此环境专为教育目的而建，运行在自有的硬件和隔离的网络中。未经所有者明确和书面的授权，此处记录的任何技术均不得应用于任何系统、网络或设备。 ## 👨‍💻 作者 Matheus Dantas - 网络安全技术专家 - CompTIA Security+ - DCPT 职业目标：Security Operations Center (SOC)

标签：AMSI绕过, Metaprompt, Proxmox, Terraform 安全, 企业环境模拟, 威胁检测, 安全运营中心(SOC), 活动目录(AD)安全, 请求拦截