XanDuri/home-soc-lab
GitHub: XanDuri/home-soc-lab
一个隔离的 Active Directory 加 Wazuh SIEM 家庭实验室,用于 SOC 检测工程、攻击模拟和 MITRE ATT&CK 映射告警分诊练习。
Stars: 0 | Forks: 0
🛡️ 家庭 SOC 实验室
一个带有 Wazuh SIEM 的隔离 Active Directory 环境,旨在通过真实攻击练习 检测工程和 SOC L1 告警分诊。
Domain Controller + DNS
192.168.56.10
corp.lab"] WS["💻 WS01
Windows 10 Pro
domain workstation
192.168.56.20"] WAZ["🛡️ WAZUH
SIEM / Indexer / Dashboard
192.168.56.11"] KALI["☠️ KALI
Attacker
192.168.56.100"] end HOST["🖥️ Host (Windows 11)
Wazuh Dashboard access"] HOST -. "Host-only 192.168.57.0/24" .-> WAZ KALI == "attacks" ==> WS KALI == "attacks" ==> DC DC -. "logs / agent" .-> WAZ WS -. "logs / agent" .-> WAZ WS --- DC ``` ## 🧩 组件 | 主机 | 角色 | 操作系统 | IP (lab-net) | | --- | --- | --- | --- | | **DC01** | 域控, DNS | Windows Server 2022 | `192.168.56.10` | | **WAZUH** | SIEM (Indexer + Dashboard) | Wazuh OVA 4.14.5 | `192.168.56.11` | | **WS01** | 域成员工作站 | Windows 10 Pro 22H2 | `192.168.56.20` | | **KALI** | 攻击者 | Kali Linux 2026.1 | `192.168.56.100` | **Domain:** `corp.lab` | **NetBIOS:** `CORP` Wazuh 服务器在 **host-only 网络** (`192.168.57.0/24`) 上有第二个接口, 因此可以从主机浏览器通过 `https://192.168.57.11` 访问仪表板——同时实验室本身保持与互联网隔离。 ## 🎯 本实验室的演示内容 - 从头开始构建和保护 **Active Directory** 域 - 设计用于安全攻击模拟的**隔离、分段网络** - 端到端部署和操作 **SIEM (Wazuh)** - **检测工程**——编写自定义规则以捕获攻击者行为 - **SOC L1 分诊**——将原始告警转化为结构化的事件报告 - 将活动映射到 **MITRE ATT&CK** 框架 ## 🧪 攻击与检测场景 每个场景都位于 [`/attacks`](./attacks) 下各自的文件夹中,包含 攻击者命令、Wazuh 捕获的原始证据、检测逻辑 以及 SOC 风格的事件报告。 | # | 场景 | MITRE ATT&CK | 状态 | | --- | --- | --- | --- | | 01 | [RDP 暴力破解](./attacks/01-brute-force) | T1110.001 | ✅ 已完成 | | 02 | Kerberoasting | T1558.003 | 🔜 计划中 | | 03 | 凭据转储 (Mimikatz) | T1003 | 🔜 计划中 | | 04 | Defender 篡改 | T1562.001 | 🔜 计划中 | | 05 | 清除事件日志 | T1070.001 | 🔜 计划中 | | 06 | 计划任务持久化 | T1053.005 | 🔜 计划中 | *(随着场景被记录,表格将进行更新。)* ## 📂 仓库结构 ``` home-soc-lab/ ├── README.md ├── docs/ │ ├── 01-architecture/ # network design, IP plan, isolation strategy │ └── 02-setup/ # how each machine was built ├── attacks/ # one folder per attack/detection scenario ├── wazuh-rules/ # custom Wazuh detection rules (XML) ├── sysmon-config/ # Sysmon configuration used on endpoints ├── incident-reports/ # SOC-style incident write-ups └── screenshots/ # dashboard & evidence screenshots ``` ## 🛠️ 构建工具 VirtualBox · Windows Server 2022 · Windows 10 Pro · Wazuh 4.14.5 · Kali Linux · Sysmon · MITRE ATT&CK
作为一个注重实践的网络安全作品集项目进行构建和记录。
标签:Active Directory, Plaso, Wazuh, 安全实验室, 安全运营, 扫描框架, 攻击模拟, 驱动签名利用