viktor-mukasieiev/soc-home-lab
GitHub: viktor-mukasieiev/soc-home-lab
一个家庭 SOC 安全实验室项目,通过 Splunk SIEM、Sysmon 端点监控和 Kali 攻击模拟来培养威胁检测工程技能并构建求职作品集。
Stars: 0 | Forks: 0
# 🛡️ SOC 家庭实验室
## 🎯 目标
构建一个功能齐全的家庭 SOC 实验室,以:
- 培养实际的 SIEM、日志分析和威胁检测技能
- 模拟真实的攻击者技术,并使用 Splunk 进行检测
- 公开记录每一个步骤,作为求职 SOC Analyst 岗位的专业作品集
- 目标:**在 2025 年 12 月前获得 SOC Analyst 的录用通知**
## 🏗️ 实验室架构
```
MikroTik Chateau LTE6 ax (RouterOS 7.19.6)
│
├── VLAN SOC [192.168.88.0/24] ──→ WireGuard VPS ──→ Internet
│ ├── Ubuntu Host (main)
│ │ └── Splunk Free (SIEM)
│ ├── VM: Windows 11 (VirtualBox)
│ │ └── Sysmon + Splunk Universal Forwarder
│ └── VM: Kali Linux (VirtualBox)
│ └── Attack simulation
│
├── VLAN AI [192.168.20.0/24] ──→ Mullvad VPN ──→ Internet
│ └── macOS Host
│ └── AI tools, CompTIA prep, LinkedIn
│
└── VLAN HOME [192.168.10.0/24] ──→ Mullvad VPN ──→ Internet
└── Personal devices (fully isolated)
```
## 🧰 技术栈
| 组件 | 角色 | 状态 |
|-----------|------|--------|
| MikroTik Chateau LTE6 ax | 路由器,VLAN 隔离,VPN 路由 | ✅ 已完成 |
| Ubuntu 22.04 (Host) | Splunk Free SIEM | 🔧 进行中 |
| Windows 11 (VM) | 日志源 — Sysmon | 🔧 进行中 |
| Kali Linux (VM) | 攻击模拟 | 🔧 进行中 |
| Splunk Free | SIEM — 日志接入、检测、仪表板 | 🔧 进行中 |
| Sysmon | Windows VM 上的端点遥测 | 🔧 进行中 |
| WireGuard (VPS) | SOC VLAN 的加密隧道 | ✅ 已完成 |
| Mullvad VPN | AI + HOME VLAN 的加密隧道 | ✅ 已完成 |
## 📁 仓库结构
```
soc-home-lab/
│
├── README.md ← You are here
│
├── infrastructure/
│ ├── mikrotik/
│ │ ├── wireguard-vps-setup.md ← WireGuard tunnel: MikroTik ↔ VPS
│ │ └── mullvad-vlan-setup.md ← VLAN segmentation + Mullvad VPN
│ └── network-diagram/
│ └── architecture.md ← Network diagram and design decisions
│
└── labs/
└── (coming soon — detection scenarios)
```
## 🗺️ 路线图
### ✅ 第一阶段 — 网络基础设施
- [x] MikroTik VLAN 隔离(SOC / AI / HOME)
- [x] WireGuard VPN 隧道(SOC VLAN → VPS)
- [x] Mullvad VPN(AI + HOME VLAN)
- [x] 通过防火墙规则进行网络隔离
- [ ] VM 网络隔离(内部网络 + Host-Only)
### 🔧 第二阶段 — SIEM 流水线
- [ ] 在 Ubuntu 上安装 Splunk Free
- [ ] 在 Windows 11 VM 上安装 Sysmon(SwiftOnSecurity 配置)
- [ ] 配置 Splunk Universal Forwarder
- [ ] 首批日志实现端到端流动
### 📋 第三阶段 — 检测工程
- [ ] 首个检测:Kali nmap 扫描 → Splunk 告警
- [ ] 为每个场景进行 MITRE ATT&CK 映射
- [ ] 自定义 Splunk 仪表板
### 📢 第四阶段 — 作品集与知名度
- [ ] 在 GitHub 上发布 10 个以上记录详细的实验室场景
- [ ] 更新 LinkedIn 个人主页,加入实验室内容
- [ ] 投递 SOC Analyst 职位
## 🔐 安全提示
本文档中的所有 IP 地址均已进行泛化处理,以便公开分享。
敏感凭据、私钥和备份文件**绝不**存储在此仓库中。
## 👤 关于
自学成才的网络安全从业者,正努力向 SOC Analyst 岗位发展。
目前正在备考 CompTIA Security+。
这个实验室是我主要的实践培训环境。
标签:AMSI绕过, IP 地址批量处理, Sysmon, 威胁检测, 安全运营中心, 知识库安全, 网络映射