84rtek/soc-homelab

GitHub: 84rtek/soc-homelab

一个基于 Wazuh、Sysmon 和 Active Directory 构建的蓝队安全运营实验室,提供多个攻击场景的模拟、检测与事件分析实践。

Stars: 0 | Forks: 0

# SOC Homelab 一个个人 Blue Team 家庭实验室,旨在使用 Wazuh SIEM 培养安全运营中心 (SOC) 活动、Windows 事件分析、Active Directory 管理、威胁检测和事件调查方面的实用技能。 该项目的目标是模拟常见的攻击者技术,验证检测结果,并像 SOC 分析师调查那样记录每个场景。 # 实验环境 | 组件 | 技术 | |-----------|------------| | SIEM | Wazuh | | 操作系统 | Ubuntu Server | | 域控制器 | Windows Server 2022 | | 终端 | Windows 11 | | 监控 | Sysmon | | 网络 | VirtualBox 内部网络 | # 技术 - Wazuh - Sysmon - Windows 事件日志 - Active Directory - Windows Server 2022 - Windows 11 - Ubuntu Server - PowerShell - PsExec - VirtualBox # 检测场景 | # | 场景 | 状态 | |---|----------|--------| | 01 | 实验室搭建 | ✅ | | 02 | 发现 | ✅ | | 03 | 暴力破解 | ✅ | | 04 | 本地用户创建 | ✅ | | 05 | 本地用户删除 | ✅ | | 06 | 将用户添加至本地管理员 | ✅ | | 07 | 编码的 PowerShell | ✅ | | 08 | 计划任务 | ✅ | | 09 | 日志清除 | ✅ | | 10 | Bitsadmin | ✅ | | 11 | 服务创建 | ✅ | | 12 | 注册表 Run 键 | ✅ | | 13 | Defender 排除项 | ✅ | | 14 | PowerShell 下载执行 | ✅ | | 15 | 添加防火墙规则 | ✅ | | 16 | WMI 进程创建 | ✅ | | 17 | 将用户添加至 Domain Admins | ✅ | | 18 | PsExec 远程执行 | ✅ | 每个场景包括: - 攻击模拟 - 事件分析 - Wazuh 检测 - 相关截图 - MITRE ATT&CK 映射 - 调查记录 # 仓库结构 ``` soc-homelab/ │ ├── configs/ │ ├── sysmon/ │ └── wazuh/ │ ├── docs/ │ ├── screenshots/ │ └── README.md ``` # 展示技能 - Windows 事件日志分析 - Active Directory 管理 - Wazuh SIEM 配置 - Sysmon 部署和监控 - 检测工程 - PowerShell 调查 - Windows 终端监控 - 事件分析 - 威胁模拟 - MITRE ATT&CK 映射 # 文档 每个场景都在 **docs/** 目录中单独记录。 每份文档包含: - 场景概述 - 攻击执行 - 生成的 Windows 事件 - Wazuh 告警 - MITRE ATT&CK 技术 - 检测说明 - 截图 # 未来改进 该 homelab 计划的增强功能包括: - Sigma 规则集成 - YARA 集成 - Velociraptor 部署 - 额外的 ATT&CK 技术 - 自定义 Wazuh 解码器 - 检测调优和优化 # 免责声明 本项目仅为教育目的而创建。所有攻击模拟均在隔离的虚拟实验室环境中进行。
标签:Active Directory, AI合规, AMSI绕过, PE 加载器, Plaso, Sysmon, Terraform 安全, Wazuh, 威胁检测, 子域名变形, 安全实验室, 安全运营, 扫描框架, 速率限制