AymanAhmad-99/Enterprise-SOC-Lab
GitHub: AymanAhmad-99/Enterprise-SOC-Lab
一个基于 OPNsense、Wazuh SIEM 和 Suricata IDS 构建的实践型 SOC 培训实验室,帮助初学者在模拟环境中学习安全运营的核心技能。
Stars: 0 | Forks: 0
# 企业 SOC 实验室
一个注重实践的网络安全培训实验室,专注于基础 SOC 操作、网络监控、终端可见性以及事件响应文档编写。
该项目是我在完成网络安全培训文凭后,在网络安全领域进行实操学习之旅的一部分。其目的是了解安全工具在小型实验室环境中如何协同工作,并清晰地记录整个过程。
这不是一个生产级的 SOC 环境。它是一个用于展示实践理解、故障排除能力和基础安全操作技能的学习实验室。
## 项目目标
该实验室的目标是练习初级 SOC、IT 安全和基础架构支持岗位所需的核心技能。
主要学习目标:
* 了解基础网络设计
* 配置防火墙网关
* 监控 Windows 和 Linux 系统
* 收集和审查安全日志
* 分析 IDS 警报
* 练习警报分诊
* 编写基础调查记录
* 构建清晰的技术文档
## 实验室架构
```
Internet / NAT
|
OPNsense Firewall
|
Internal LAN: 192.168.50.0/24
|
|-- SOC-01 Ubuntu Server / Wazuh Manager: 192.168.50.10
|-- USER01 Windows Endpoint: 192.168.50.20
|-- TEST01 Testing Machine: 192.168.50.30
```
## 使用的工具
* OPNsense 防火墙
* Wazuh SIEM
* Suricata IDS
* Wireshark
* Windows 终端
* Ubuntu 服务器
* VMware
* Linux CLI
* PowerShell
* GitHub 文档
## 我的实现内容
* 使用 VMware 构建了内部实验室网络
* 将 OPNsense 配置为主防火墙和网关
* 为内部网络流量创建了基础防火墙规则
* 在 Ubuntu 服务器上安装了 Wazuh Manager
* 在 Windows 终端上安装了 Wazuh Agent
* 验证了 Wazuh 内部的终端可见性
* 在 LAN 接口上启用了 Suricata IDS
* 下载并启用了选定的 ET Open 规则
* 生成并审查了 Suricata 网络警报
* 开始记录警报分诊和调查步骤
## 当前实验室状态
已完成:
* 内部网络设计
* OPNsense 防火墙设置
* Windows 终端设置
* Ubuntu SOC 服务器设置
* Wazuh 安装
* Windows Wazuh Agent 连接
* Suricata IDS 设置
* 在 OPNsense 中可见初始网络警报
进行中:
* 将 Suricata 事件转发至 Wazuh
* Wireshark 数据包分析记录
* 失败登录调查报告
* 基础事件响应文档编写
* MITRE ATT&CK 映射练习
* 简单的 IOC 文档编写
## 网络警报示例
在 Suricata 中观察到的首批警报之一与 DNS over HTTPS 流量有关:
```
ET INFO Observed Cloudflare DNS over HTTPS Domain
ET INFO Observed Google DNS over HTTPS Domain
```
初步分析:
* 来源:Windows 终端
* 目的地:Google / Cloudflare 服务
* 目标端口:443
* 操作:允许
* 类型:信息类
* 评估:暂无被入侵的证据。该警报有助于了解加密 DNS 行为和网络可见性。
## SOC 分诊流程
对于每个警报,我都会尝试审查:
1. 主机名
2. 源 IP
3. 目标 IP
4. 端口
5. 时间戳
6. 警报签名
7. 相关日志
8. 初步评估
9. 决策
10. 下一步行动
## 计划改进
该项目的后续阶段将包括:
* 将 Suricata 事件发送至 Wazuh
* 创建 Wireshark 数据包分析实验
* 记录失败的登录调查
* 编写 Suricata 警报分析报告
* 构建简单的 SOC playbook
* 创建基础的 MITRE ATT&CK 映射表
* 创建一个小型 IOC 表
* 准备适合简历或面试讨论的最终项目总结
## 学习成果
通过这个实验室,我正在提升对以下方面的理解:
* 流量如何通过防火墙传输
* 终端日志如何传输至 SIEM
* IDS 警报如何帮助提高网络可见性
* 如何将信息类警报与可疑活动区分开来
* 如何清晰地记录技术工作
* 如何逐步排除问题
* 如何以专业和切合实际的方式讲解安全实验室
## 备注
本项目是一个学习实验室。它不是生产环境。
其目的是展示适合初级网络安全、SOC Analyst L1、IT 安全支持或基础架构支持岗位的实践理解能力、纪律性、故障排除能力和文档编写技能。
标签:AI合规, Metaprompt, OPNsense, PB级数据处理, Wazuh, 安全实验室, 安全运维, 安全运营中心, 网络映射, 网络流量分析