84rtek/soc-homelab
GitHub: 84rtek/soc-homelab
一个基于 Wazuh、Sysmon 和 Active Directory 构建的蓝队安全运营实验室,提供多个攻击场景的模拟、检测与事件分析实践。
Stars: 0 | Forks: 0
# SOC Homelab
一个个人 Blue Team 家庭实验室,旨在使用 Wazuh SIEM 培养安全运营中心 (SOC) 活动、Windows 事件分析、Active Directory 管理、威胁检测和事件调查方面的实用技能。
该项目的目标是模拟常见的攻击者技术,验证检测结果,并像 SOC 分析师调查那样记录每个场景。
# 实验环境
| 组件 | 技术 |
|-----------|------------|
| SIEM | Wazuh |
| 操作系统 | Ubuntu Server |
| 域控制器 | Windows Server 2022 |
| 终端 | Windows 11 |
| 监控 | Sysmon |
| 网络 | VirtualBox 内部网络 |
# 技术
- Wazuh
- Sysmon
- Windows 事件日志
- Active Directory
- Windows Server 2022
- Windows 11
- Ubuntu Server
- PowerShell
- PsExec
- VirtualBox
# 检测场景
| # | 场景 | 状态 |
|---|----------|--------|
| 01 | 实验室搭建 | ✅ |
| 02 | 发现 | ✅ |
| 03 | 暴力破解 | ✅ |
| 04 | 本地用户创建 | ✅ |
| 05 | 本地用户删除 | ✅ |
| 06 | 将用户添加至本地管理员 | ✅ |
| 07 | 编码的 PowerShell | ✅ |
| 08 | 计划任务 | ✅ |
| 09 | 日志清除 | ✅ |
| 10 | Bitsadmin | ✅ |
| 11 | 服务创建 | ✅ |
| 12 | 注册表 Run 键 | ✅ |
| 13 | Defender 排除项 | ✅ |
| 14 | PowerShell 下载执行 | ✅ |
| 15 | 添加防火墙规则 | ✅ |
| 16 | WMI 进程创建 | ✅ |
| 17 | 将用户添加至 Domain Admins | ✅ |
| 18 | PsExec 远程执行 | ✅ |
每个场景包括:
- 攻击模拟
- 事件分析
- Wazuh 检测
- 相关截图
- MITRE ATT&CK 映射
- 调查记录
# 仓库结构
```
soc-homelab/
│
├── configs/
│ ├── sysmon/
│ └── wazuh/
│
├── docs/
│
├── screenshots/
│
└── README.md
```
# 展示技能
- Windows 事件日志分析
- Active Directory 管理
- Wazuh SIEM 配置
- Sysmon 部署和监控
- 检测工程
- PowerShell 调查
- Windows 终端监控
- 事件分析
- 威胁模拟
- MITRE ATT&CK 映射
# 文档
每个场景都在 **docs/** 目录中单独记录。
每份文档包含:
- 场景概述
- 攻击执行
- 生成的 Windows 事件
- Wazuh 告警
- MITRE ATT&CK 技术
- 检测说明
- 截图
# 未来改进
该 homelab 计划的增强功能包括:
- Sigma 规则集成
- YARA 集成
- Velociraptor 部署
- 额外的 ATT&CK 技术
- 自定义 Wazuh 解码器
- 检测调优和优化
# 免责声明
本项目仅为教育目的而创建。所有攻击模拟均在隔离的虚拟实验室环境中进行。
标签:Active Directory, AI合规, AMSI绕过, PE 加载器, Plaso, Sysmon, Terraform 安全, Wazuh, 威胁检测, 子域名变形, 安全实验室, 安全运营, 扫描框架, 速率限制