kabelo3/SOC-Home-lab
GitHub: kabelo3/SOC-Home-lab
一个模拟真实攻击与检测流程的个人 SOC 家庭实验室,涵盖从侦察、漏洞评估到 SIEM 日志分析的完整安全运营实践。
Stars: 0 | Forks: 0
# SOC 家庭实验室
一个个人安全运营中心 (SOC) 实验室,使用行业标准工具模拟真实世界的攻击与检测场景。
## 实验室环境
| 机器 | 操作系统 | IP | 角色 |
|---------|----|----|------|
| 宿主机 | Windows 10 | — | Hypervisor |
| 攻击机 | Kali Linux | 192.168.65.3 | 分析机 |
| 目标机 | Ubuntu | 192.168.65.4 | 目标服务器 |
## 使用的工具
- **Nmap** — 网络侦察与资产发现
- **Nessus** — 漏洞扫描与评估
- **Hydra** — SSH 暴力破解模拟
- **Metasploit** — 服务指纹识别
- **Nikto** — Web 服务器漏洞扫描
- **Wireshark** — 网络流量捕获与分析
- **Splunk** — SIEM、日志摄取与检测(进行中)
## 项目阶段
### 第一阶段 — 资产发现 ✅
- Nmap 扫描发现开放端口 22 (SSH) 和 80 (HTTP)
- 操作系统指纹识别为 Ubuntu Linux
- 激进扫描揭示了服务版本信息
### 第二阶段 — 漏洞评估 ✅
- Nessus 识别出 24 个低严重性漏洞
- SSH 和 HTTP 被确认为攻击面
- 原始扫描结果保存为 .nessus 文件
### 第三阶段 — 攻击模拟 ✅
- Hydra SSH 暴力破解 — auth.log 中记录了 29 次尝试
- Metasploit 对 OpenSSH 服务版本进行了指纹识别
- Nikto 扫描了 Apache2 的配置错误
- 所有流量均通过 Wireshark pcap 捕获
### 第四阶段 — 检测与告警(进行中) ⏳
- Ubuntu auth.log 摄取至 Splunk SIEM
- 通过日志分析检测到暴力破解尝试
- 仪表板正在构建中
## 主要发现
- SSH 暴力破解攻击产生了 29 次失败的登录尝试
- 所有尝试均已记录,并可在 auth.log 中检测到
- 通过 SIEM 分析可识别攻击者 IP 192.168.65.3
- 模拟过程中未发生凭证泄露
## 证据文件
标签:CTI, TGT, 安全运营中心, 插件系统, 攻防演练, 网络映射