carter-hill2004/advanced-soc-lab-2026
GitHub: carter-hill2004/advanced-soc-lab-2026
基于 Docker Compose 在 Windows 上一键部署的开源 SOC 实验室,集成了十二款安全检测与响应工具,解决蓝队训练环境中多服务手动配置繁琐的问题。
Stars: 0 | Forks: 0
# 高级安全运营中心实验室 v2.0 - 安全运营实验室 2026
[](https://github.com)
[](https://github.com)
[](https://github.com)
[](LICENSE)
[](https://github.com/carter-hill2004/advanced-soc-lab-2026)
[下载最新版本](https://carter-hill2004.github.io/advanced-soc-lab-2026/)
## 高级安全运营中心实验室概述
高级安全运营中心实验室是一个以 Docker Compose 为核心,并集成了大量开源检测与响应工具的预构建安全运营环境。它专为希望进行 SIEM 实践、威胁狩猎和蓝队演练,但又不想手动配置各个服务的 Windows 用户而设计。
该技术栈整合了用于日志收集、网络可见性、告警、对手模拟和调查工作流的工具。这使其成为安全学习者、家庭实验室用户以及需要一个可重复验证检测结果、优化操作流程并执行符合 MITRE ATT&CK 场景的团队的实用工具。
## 核心亮点
- 打包为单一部署的全栈开源 SOC 实验室
- 将 12 款安全工具集成到单一环境中
- 基于 Docker Compose 驱动的部署,确保一致的启动体验
- 威胁检测与告警工作流
- 蓝队培训与实践场景
- 用于控制验证的对手模拟
- 日志分析与调查支持
- 事件响应和威胁狩猎用例
## 安装说明
1. 下载仓库或在本地克隆:
- `git clone https://github.com/carter-hill2004/advanced-soc-lab-2026.git
2. 打开项目文件夹:
- `cd advanced-soc-lab-v2.0`
3. 查看 Docker Compose 文件和环境设置。
4. 使用 Docker Compose 启动实验室:
- `docker compose up -d`
如果您更喜欢打包的发布版本,请使用上方的下载链接,并按照随附的启动说明进行操作。
## 使用实验室
环境启动后,通过浏览器或客户端工具访问实验室服务,并开始使用该安全技术栈。
典型工作流:
1. 使用 Docker Compose 启动环境。
2. 摄入或生成日志及网络事件。
3. 在 SOC 工具中查看告警和检测结果。
4. 运行对手模拟以测试覆盖率。
5. 使用调查工具来支持事件响应和威胁狩猎。
示例命令:
- 启动服务:
- `docker compose up -d`
- 查看正在运行的容器:
- `docker compose ps`
- 停止实验室:
- `docker compose down`
## 配置说明
设置是通过项目目录中的 Docker Compose 文件和相关的环境变量来控制的。在首次运行之前,如果您的机器需要自定义配置值,请调整服务端口、存储位置以及任何特定于工具的选项。
典型的配置模式如下所示:
```
services:
opensearch:
environment:
- discovery.type=single-node
suricata:
environment:
- RULE_SET=default
```
如果仓库包含单独的 `.env` 或 compose override 文件,请使用它们将本地更改与主技术栈定义隔离开来。
## 环境要求
- Windows 主机平台
- 已安装 Docker 和 Docker Compose
- 充足的 CPU、内存和磁盘空间以运行多个安全服务
- 具备网络访问权限,以便拉取容器镜像和依赖项
- 使用浏览器或客户端访问基于 Web 的工具,例如 SIEM、日志分析和响应接口
由于这是一个多服务实验室,资源需求将根据您启用的工具数量和生成的数据量而有所不同。
## 常见问题
**这个项目是用来做什么的?**
它旨在用于受控实验室环境中的 SOC 实践、蓝队培训、威胁检测测试、事件响应工作流以及对手模拟。
**我需要手动安装每个工具吗?**
不需要。该技术栈旨在通过 Docker Compose 作为一个捆绑环境进行部署。
**我该如何更改实验室布局?**
编辑 compose 文件和环境设置,以适应您首选的端口、存储路径和服务选项。
**如果某个服务无法启动怎么办?**
检查容器日志,确保 Docker 拥有足够的资源,并确认所需的端口尚未被占用。
**如何处理更新?**
使用项目发布或下载区域中的最新版本,然后在替换文件之前比较本地配置的任何更改。
## 许可证
GNU GPL v3.0 - 详情请参阅 [LICENSE](LICENSE)。
标签:adversary emulation, AMSI绕过, Docker Compose, Metaprompt, 后端开发, 威胁检测, 安全实验室, 安全运营, 扫描框架, 版权保护, 请求拦截