tooshy9xr/open-source-enterprise-soc-l1-lab

GitHub: tooshy9xr/open-source-enterprise-soc-l1-lab

基于Wazuh、Security Onion等开源工具搭建的企业级蓝队实验室,通过250个场景帮助用户系统训练SOC一级的安全监控、检测工程与事件调查技能。

Stars: 0 | Forks: 0

# 开源企业级 SOC L1 实验室 一个隔离的、企业级的蓝队实验室,用于构建和展示 SOC 一级的检测、分诊、调查、升级和报告技能,并使用开源安全平台。 ## 网络拓扑

Open-Source Enterprise SOC L1 Lab Network Topology

该实验室在 OPNsense 之后分离了管理、内部、DMZ 和模拟流量。Wazuh 提供 endpoint 和主机遥测;Security Onion 通过 Zeek、Suricata 和数据包元数据提供网络可见性。有关信任边界和数据流,请参见[架构概述](ARCHITECTURE.md)。 ## 核心架构 | 虚拟机 (VM) | 主要角色 | 区域 | 关键遥测或功能 | |---|---|---|---| | `OPNsense-FW` | 路由、防火墙、NAT 和分段 | 边缘 / 所有区域 | 防火墙、DHCP、DNS 和流量日志 | | `WAZUH-SIEM-01` | SIEM、endpoint 监控和警报分诊 | 管理 | Wazuh manager、indexer 和 dashboard | | `SECURITY-ONION-01` | 网络安全监控 | 监控 | Zeek、Suricata 和数据包可见性 | | `AD-DC-01` | Active Directory Domain Services 和 DNS | 内部 | Windows 安全、目录、DNS 和策略日志 | | `WIN-CLIENT-01` | 加入域的 Windows endpoint | 内部 | Sysmon、Windows Event Logs 和 Wazuh agent | | `WIN-CLIENT-02` | 加入域的 Windows endpoint | 内部 | Sysmon、Windows Event Logs 和 Wazuh agent | | `DMZ-LINUX-01` | Ubuntu DMZ 服务器和 Web 工作负载 | DMZ | Linux、auditd、SSH、Nginx 和 Wazuh agent 日志 | | `KALI-LAB-01` | 仅限实验室的场景模拟 | 模拟 | 仅限受控的、已授权的测试流量 | 详细的地址和容量假设记录在 [IP 地址规划](01-Architecture/ip-addressing-plan.md)和 [VM 资源规划](01-Architecture/vm-resource-plan.md)中。 ## 方法论 每个路线图部分都必须通过规定的完成检查点。在其配置、验证证据、发现结果和 GitHub 文档达成一致之前,不会视为完成。请参阅[学习方法论](00-Project-Management/learning-methodology.md)、[文档标准](00-Project-Management/documentation-standard.md)和[完成检查点](00-Project-Management/completion-gates.md)。 ## 仓库结构 | 路径 | 用途 | |---|---| | [`00-Project-Management/`](00-Project-Management/README.md) | 治理、方法论、标准和完成检查点 | | [`01-Architecture/`](01-Architecture/README.md) | 拓扑、寻址、资源、分段和遥测设计 | | [`02-Lab-Build/`](02-Lab-Build/README.md) | 逐部分的实施和验证证据 | | [`03-Learning-Notes/`](03-Learning-Notes/README.md) | 专注于特定主题的学习笔记和分析师参考 | | [`04-Scenarios/`](04-Scenarios/README.md) | 250 个场景的目录和执行记录 | | [`05-Detections/`](05-Detections/README.md) | 规则、查询、调优笔记和检测验证 | | [`06-Incident-Reports/`](06-Incident-Reports/README.md) | SOC L1 调查和升级报告 | | [`07-Dashboards/`](07-Dashboards/README.md) | 操作和作品集 dashboard 文档 | | [`08-MITRE-Mapping/`](08-MITRE-Mapping/README.md) | ATT&CK 技术覆盖率和可追溯性 | | [`09-Screenshots/`](09-Screenshots/README.md) | 精选的构建、警报、dashboard 和场景证据 | | [`10-Final-Portfolio/`](10-Final-Portfolio/README.md) | 最终总结、经验教训和发布检查清单 | | [`templates/`](templates/README.md) | 可重用的 SOC L1 文档模板 | | [`archive/`](archive/README.md) | 保留已被取代的材料以用于追溯 | ## 当前状态 第 01 部分**进行中**。第 02–30 部分**未开始**,直到满足其完成检查点并发布证据。权威状态请参见[进度跟踪器](PROGRESS-TRACKER.md);计划成果在[包含 30 个部分的路线图](ROADMAP.md)中定义。 ## 最终目标 - 完成所有 30 个路线图部分并验证八虚拟机 (VM) 架构。 - 执行 250 个受控的 SOC L1 检测和调查场景。 - 将每个场景与证据、检测逻辑、事件报告和 MITRE ATT&CK 映射关联起来。 - 发布具有代表性的 dashboard 和一个简洁的、适合招聘人员的最终作品集。 ## 安全与授权 所有模拟活动仅限于实验室运营者拥有的系统和隔离的实验室网络。`KALI-LAB-01` 仅用于受控验证。本项目不授权测试公共系统、生产环境、第三方资产或任何未经明确许可的目标。场景必须使用良性或可逆的技术、快照、记录在案的清理步骤以及所需的最低访问权限。 ## 项目导航 - [路线图](ROADMAP.md) - [架构](ARCHITECTURE.md) - [项目范围](PROJECT-SCOPE.md) - [进度跟踪器](PROGRESS-TRACKER.md) - [场景索引](04-Scenarios/scenario-index.md) - [检测索引](05-Detections/detection-index.md) - [事件报告索引](06-Incident-Reports/report-index.md) - [MITRE 覆盖矩阵](08-MITRE-Mapping/mitre-coverage-matrix.md) - [参考](REFERENCES.md) - [更新日志](CHANGELOG.md)
标签:Metaprompt, Terraform 安全, Wazuh, 安全实验室