cyb3rtaye/integrated-security-operations-lab
GitHub: cyb3rtaye/integrated-security-operations-lab
在受控实验室环境中构建端到端安全运营工作流,整合 Active Directory、Wazuh 检测工程、威胁情报富化、Tines 自动化和 Jira 案例管理,覆盖从攻击模拟到响应处置的完整闭环。
Stars: 1 | Forks: 0
# 综合安全运营实验室
## 概述
本仓库记录了在受控的非生产环境中构建的综合安全运营环境。
该项目将企业身份、端点遥测、端点保护、检测工程、调查、情报富化、自动化和案例管理整合到一个工作流中:
**攻击模拟 → 遥测 → 检测 → 调查 → 响应 → 自动化 → 案例管理**
## 实验室架构
| 系统 | 主机名 | 仅主机 IP | 功能 |
|---|---|---:|---|
| Windows Server 2025 | `DC01` | `192.168.56.30` | Active Directory 域服务、DNS 和 AD CS |
| Windows 11 企业版 | `DESKTOP-QKT6LKD` | `192.168.56.20` | 加入域的受监控端点 |
| Kali Linux | `kali` | `192.168.56.10` | 受控的对手模拟 |
| Ubuntu Server | `wazuh-server` | `192.168.56.40` | Wazuh 管理器、索引器和仪表板 |
仅主机网络支持内部实验室通信。NAT 接口提供受控的出站访问。
## 已实现的功能
- Active Directory、DNS 和加入域的端点部署
- Sysmon、PowerShell 和 Windows 安全日志记录
- Microsoft Defender 检测和修复验证
- Wazuh 部署、端点集成和事件接入
- 基于 ATT&CK 的检测和遥测验证
- 结构化的事件调查记录
- 指标富化和分析师决策支持
- SOAR 工作流设计和 Tines 实时接收验证
- 适配 Jira 的案例记录
## 仓库导航
| 领域 | 描述 |
|---|---|
| [架构](architecture/) | 架构概述、网络设计和数据流 |
| [Active Directory](active-directory-enterprise-lab/) | 身份、DNS 和域基础 |
| [攻击模拟](attack-simulation/) | 受控的验证活动 |
| [端点遥测](endpoint-telemetry/) | Sysmon 和 Windows 日志配置 |
| [端点保护](endpoint-protection/) | Microsoft Defender 验证 |
| [Wazuh 检测工程](detection-engineering-wazuh/) | 平台部署、接入和验证 |
| [检测](detections/) | 检测映射和规则文档 |
| [事件调查](incident-investigation-response/) | 结构化的调查案例 |
| [威胁情报](threat-intelligence-enrichment/) | 指标情境化和富化 |
| [SOAR 工作流设计](security-automation-soar-workflow/) | 自动化逻辑和 Tines 实施计划 |
| [Tines 实施](automation-tines/) | 实时工作流状态 |
| [案例管理](case-management-jira/) | 适配 Jira 的工单记录和追踪器 |
| [证据](evidence/) | 原始验证输出 |
| [截图](screenshots/) | 可视化证据 |
## 项目状态
| 功能 | 状态 |
|---|---|
| 架构和 Active Directory | 已完成 |
| 端点遥测基线 | 已完成 |
| Microsoft Defender 基线 | 已完成 |
| Wazuh 部署和端点集成 | 已完成 |
| 检测和调查案例 | 已完成并持续扩展中 |
| 威胁情报富化基线 | 已完成 |
| SOAR 工作流文档 | 已完成 |
| Tines 实时工作流 | 进行中 |
| 适配 Jira 的案例记录 | 已完成 |
| Jira 实时集成 | 已计划 |
| AWS 云安全 | 已计划 |
| 取证调查 | 已计划 |
| DevSecOps 容器安全 | 已计划 |
| Agentic AI 安全 | 已计划 |
## 证据标准
声明均有命令输出、配置记录、事件数据、警报、截图和分析师笔记作为支持。除非活动、事件源和检测规则均已通过验证,否则遥测可见性不会被描述为已确认的检测。
## 安全范围
所有测试均限于受控的非生产实验室。
凭据、API 密钥、webhook URL 和其他机密信息均已被排除或脱敏处理。
标签:Active Directory, IP 地址批量处理, Plaso, SOAR, Terraform 安全, Wazuh, 安全实验环境, 安全运营, 扫描框架, 端点安全, 补丁管理