tooshy9xr/Open-Source-Enterprise-SOC-Level-1-Lab

GitHub: tooshy9xr/Open-Source-Enterprise-SOC-Level-1-Lab

使用全开源工具构建的企业级 SOC Level 1 家庭实验室,覆盖检测工程、事件响应、威胁狩猎与 SOAR 自动化等完整蓝队工作流。

Stars: 1 | Forks: 0

# 🛡️ 开源企业级 SOC Level 1 实验室

SOC L1 Lab Network Topology

这是一个使用开源工具构建的企业级 SOC Level 1 家庭实验室,涵盖日志分析、检测工程、事件响应、威胁狩猎、SOAR 自动化、本地 AI 告警分诊以及 GitHub 作品集开发。

架构路线图进度追踪项目范围

## 📌 概述 **开源企业级 SOC Level 1 实验室** 是一个专业的蓝队家庭实验室,旨在使用免费的开源工具模拟 SOC L1 工作流。 该项目侧重于: * 日志收集 * 告警分诊 * 检测工程 * 事件响应 * 威胁狩猎 * Case Management * SOAR 自动化 * 威胁情报 * 本地 AI 告警分诊 * 专业的 GitHub 文档记录 ## 📍 当前状态 | 部分 | 阶段 | 状态 | | ------- | -------------------- | ------------- | | Part 01 | 项目基础 | ✅ 已完成 | | Part 02 | PC 和 Hypervisor 基础 | ⏳ 未开始 | ## 🧱 架构摘要 | 项目 | 设计 | | ------------------- | ------------------------------ | | 架构 | 优化的 8-VM SOC 实验室 | | RAM 目标 | 最高分配 50GB 实验室内存 | | 存储目标 | 最高 1TB | | 核心 SIEM | Wazuh | | 网络监控 | Security Onion, Suricata, Zeek | | Case Management | TheHive | | SOAR | Shuffle / n8n | | 威胁情报 | MISP | | 本地 AI | Ollama | ## 🖥️ 虚拟机 | VM | 区域 | 角色 | | ------------------- | ---------- | ------------------------------------- | | `OPNsense-FW` | 所有区域 | 防火墙,路由,NAT,隔离 | | `AD-DC-01` | LAN | Active Directory, DNS, DHCP | | `WIN-CLIENT-01` | LAN | Windows endpoint, Sysmon, Wazuh Agent | | `DMZ-LINUX-01` | DMZ | Web 服务器,Linux 日志,蜜罐 | | `WAZUH-SIEM-01` | SOC-NET | SIEM, EDR,规则,告警 | | `SOC-SERVICES-01` | SOC-NET | TheHive, MISP, SOAR, Ollama | | `SECURITY-ONION-01` | SOC-NET | Zeek, Suricata,网络监控 | | `KALI-LAB-01` | ATTACK-NET | 仅限实验室的模拟机器 | ## 🌐 网络区域 | 区域 | 子网 | 用途 | | ---------- | --------------- | ------------------------ | | LAN | `10.10.10.0/24` | 域和 endpoint 系统 | | DMZ | `10.10.20.0/24` | Web,Linux,蜜罐服务 | | SOC-NET | `10.10.30.0/24` | 监控和 SOC 工具 | | ATTACK-NET | `10.10.40.0/24` | 受控的仅限实验室模拟 | | MGMT | `10.10.50.0/24` | 管理访问 | ## 🔁 执行工作流 ``` Study → Build → Configure → Validate → Simulate → Detect → Investigate → Document → Publish ``` ## 📚 文档索引 | 文档 | 用途 | | --------------------------------------------------- | ---------------------- | | [路线图](ROADMAP.md) | 完整的 V3 执行计划 | | [进度追踪](PROGRESS-TRACKER.md) | 当前进度和验证情况 | | [项目范围](PROJECT-SCOPE.md) | 范围和边界 | | [文档规范](DOCUMENTATION-STANDARD.md) | 写作和报告规则 | | [学习方法论](LEARNING-METHODOLOGY.md) | 学习和执行方法 | | [架构](01-Architecture/README.md) | 网络和 VM 架构 | ## 🚨 场景覆盖 | 领域 | 目标 | | -------------------- | ---: | | 身份验证 | 20 | | Phishing | 20 | | Web 攻击 | 24 | | Windows Endpoint | 20 | | Linux Endpoint | 18 | | Active Directory | 24 | | 网络 / NSM | 24 | | 防御绕过 | 12 | | 持久化 | 12 | | 权限提升 | 12 | | 横向移动 | 12 | | 数据窃取 | 10 | | 影响 | 10 | | 蜜罐 | 8 | | 威胁狩猎 | 18 | | SOAR / TI / AI | 12 | ## 🏁 专业目标 | 产出 | 目标 | | --------------------- | ----------------: | | 实践场景 | 180+ | | 事件报告 | 30+ | | 检测规则 | 30+ | | 威胁狩猎 | 18+ | | 仪表盘 | 10+ | | SOAR 工作流 | 6+ | | AI 工作流 | 3 | | Case Management 案例 | 10+ | | PDF 报告 | 15+ | | MITRE 覆盖矩阵 | 带有链接的完整覆盖 | ## 🛡️ 实验室规则 所有活动仅在私人实验室环境中进行,旨在用于教育、防御和作品集目的。 不使用任何外部系统、公共目标或未经授权的环境。
标签:AI风险缓解, Metaprompt, SOAR自动化, SOC实验室, Terraform 安全, 安全运营, 库, 应急响应, 底层分析, 扫描框架