kabelo3/SOC-Home-lab

GitHub: kabelo3/SOC-Home-lab

一个模拟真实攻击与检测流程的个人 SOC 家庭实验室,涵盖从侦察、漏洞评估到 SIEM 日志分析的完整安全运营实践。

Stars: 0 | Forks: 0

# SOC 家庭实验室 一个个人安全运营中心 (SOC) 实验室,使用行业标准工具模拟真实世界的攻击与检测场景。 ## 实验室环境 | 机器 | 操作系统 | IP | 角色 | |---------|----|----|------| | 宿主机 | Windows 10 | — | Hypervisor | | 攻击机 | Kali Linux | 192.168.65.3 | 分析机 | | 目标机 | Ubuntu | 192.168.65.4 | 目标服务器 | ## 使用的工具 - **Nmap** — 网络侦察与资产发现 - **Nessus** — 漏洞扫描与评估 - **Hydra** — SSH 暴力破解模拟 - **Metasploit** — 服务指纹识别 - **Nikto** — Web 服务器漏洞扫描 - **Wireshark** — 网络流量捕获与分析 - **Splunk** — SIEM、日志摄取与检测(进行中) ## 项目阶段 ### 第一阶段 — 资产发现 ✅ - Nmap 扫描发现开放端口 22 (SSH) 和 80 (HTTP) - 操作系统指纹识别为 Ubuntu Linux - 激进扫描揭示了服务版本信息 ### 第二阶段 — 漏洞评估 ✅ - Nessus 识别出 24 个低严重性漏洞 - SSH 和 HTTP 被确认为攻击面 - 原始扫描结果保存为 .nessus 文件 ### 第三阶段 — 攻击模拟 ✅ - Hydra SSH 暴力破解 — auth.log 中记录了 29 次尝试 - Metasploit 对 OpenSSH 服务版本进行了指纹识别 - Nikto 扫描了 Apache2 的配置错误 - 所有流量均通过 Wireshark pcap 捕获 ### 第四阶段 — 检测与告警(进行中) ⏳ - Ubuntu auth.log 摄取至 Splunk SIEM - 通过日志分析检测到暴力破解尝试 - 仪表板正在构建中 ## 主要发现 - SSH 暴力破解攻击产生了 29 次失败的登录尝试 - 所有尝试均已记录,并可在 auth.log 中检测到 - 通过 SIEM 分析可识别攻击者 IP 192.168.65.3 - 模拟过程中未发生凭证泄露 ## 证据文件
标签:CTI, TGT, 安全运营中心, 插件系统, 攻防演练, 网络映射