XanDuri/home-soc-lab

GitHub: XanDuri/home-soc-lab

一个隔离的 Active Directory 加 Wazuh SIEM 家庭实验室,用于 SOC 检测工程、攻击模拟和 MITRE ATT&CK 映射告警分诊练习。

Stars: 0 | Forks: 0

🛡️ 家庭 SOC 实验室

一个带有 Wazuh SIEM 的隔离 Active Directory 环境,旨在通过真实攻击练习 检测工程SOC L1 告警分诊

Wazuh Windows Server Kali VirtualBox MITRE

## 📖 概述 本项目是一个**完全隔离的家庭实验室**,它模拟了一个小型企业 网络以及对其进行监控的安全运营中心 (SOC)。目标是练习 SOC L1 分析师的日常工作:从攻击机 生成真实攻击,然后在 SIEM 中**检测、分诊并记录**它们。 实验室没有追求机器数量的最大化,而是**刻意保持精简**, 以便将重点放在检测逻辑和分析流程上——而不是 管理基础设施。 该环境与互联网**物理隔离**。攻击者、 受害者和 SIEM 仅在私有内部网络上进行通信,因此可以安全地 运行攻击。 ## 🗺️ 架构 ``` graph TB subgraph LAB["🔒 Internal Network  lab-net  (192.168.56.0/24) — isolated"] DC["🟦 DC01
Domain Controller + DNS
192.168.56.10
corp.lab"] WS["💻 WS01
Windows 10 Pro
domain workstation
192.168.56.20"] WAZ["🛡️ WAZUH
SIEM / Indexer / Dashboard
192.168.56.11"] KALI["☠️ KALI
Attacker
192.168.56.100"] end HOST["🖥️ Host (Windows 11)
Wazuh Dashboard access"] HOST -. "Host-only 192.168.57.0/24" .-> WAZ KALI == "attacks" ==> WS KALI == "attacks" ==> DC DC -. "logs / agent" .-> WAZ WS -. "logs / agent" .-> WAZ WS --- DC ``` ## 🧩 组件 | 主机 | 角色 | 操作系统 | IP (lab-net) | | --- | --- | --- | --- | | **DC01** | 域控, DNS | Windows Server 2022 | `192.168.56.10` | | **WAZUH** | SIEM (Indexer + Dashboard) | Wazuh OVA 4.14.5 | `192.168.56.11` | | **WS01** | 域成员工作站 | Windows 10 Pro 22H2 | `192.168.56.20` | | **KALI** | 攻击者 | Kali Linux 2026.1 | `192.168.56.100` | **Domain:** `corp.lab`  |  **NetBIOS:** `CORP` Wazuh 服务器在 **host-only 网络** (`192.168.57.0/24`) 上有第二个接口, 因此可以从主机浏览器通过 `https://192.168.57.11` 访问仪表板——同时实验室本身保持与互联网隔离。 ## 🎯 本实验室的演示内容 - 从头开始构建和保护 **Active Directory** 域 - 设计用于安全攻击模拟的**隔离、分段网络** - 端到端部署和操作 **SIEM (Wazuh)** - **检测工程**——编写自定义规则以捕获攻击者行为 - **SOC L1 分诊**——将原始告警转化为结构化的事件报告 - 将活动映射到 **MITRE ATT&CK** 框架 ## 🧪 攻击与检测场景 每个场景都位于 [`/attacks`](./attacks) 下各自的文件夹中,包含 攻击者命令、Wazuh 捕获的原始证据、检测逻辑 以及 SOC 风格的事件报告。 | # | 场景 | MITRE ATT&CK | 状态 | | --- | --- | --- | --- | | 01 | [RDP 暴力破解](./attacks/01-brute-force) | T1110.001 | ✅ 已完成 | | 02 | Kerberoasting | T1558.003 | 🔜 计划中 | | 03 | 凭据转储 (Mimikatz) | T1003 | 🔜 计划中 | | 04 | Defender 篡改 | T1562.001 | 🔜 计划中 | | 05 | 清除事件日志 | T1070.001 | 🔜 计划中 | | 06 | 计划任务持久化 | T1053.005 | 🔜 计划中 | *(随着场景被记录,表格将进行更新。)* ## 📂 仓库结构 ``` home-soc-lab/ ├── README.md ├── docs/ │ ├── 01-architecture/ # network design, IP plan, isolation strategy │ └── 02-setup/ # how each machine was built ├── attacks/ # one folder per attack/detection scenario ├── wazuh-rules/ # custom Wazuh detection rules (XML) ├── sysmon-config/ # Sysmon configuration used on endpoints ├── incident-reports/ # SOC-style incident write-ups └── screenshots/ # dashboard & evidence screenshots ``` ## 🛠️ 构建工具 VirtualBox · Windows Server 2022 · Windows 10 Pro · Wazuh 4.14.5 · Kali Linux · Sysmon · MITRE ATT&CK

作为一个注重实践的网络安全作品集项目进行构建和记录。

标签:Active Directory, Plaso, Wazuh, 安全实验室, 安全运营, 扫描框架, 攻击模拟, 驱动签名利用