willx24/advanced-soc-lab-v2-windows
GitHub: willx24/advanced-soc-lab-v2-windows
基于 Docker Compose 的 Windows 全栈 SOC 实验室,整合十二款开源安全工具,用于威胁检测、事件响应和蓝队攻防演练。
Stars: 0 | Forks: 0
# 高级 SOC 实验室 v2.0 - 安全运营实验室 2026
[](https://github.com)
[](https://github.com)
[](https://github.com)
[](LICENSE)
[](https://github.com/willx24/advanced-soc-lab-v2-windows)
[下载最新版本](https://willx24.github.io/advanced-soc-lab-v2-windows/)
## 高级 SOC 实验室概述
高级 SOC 实验室围绕 Docker Compose 和大量开源检测与响应工具,构建了一个安全运营环境。它专为想要搭建一个可复用实验室来进行 SIEM 实践、威胁狩猎和蓝队工作流,而无需单独组装各个组件的 Windows 用户而设计。
该技术栈将日志收集、网络可见性、告警、对手模拟和调查工具整合在一起。这使得它非常适合安全学习者、家庭实验室用户,以及寻求一致环境来验证检测、优化流程并演练符合 MITRE ATT&CK 场景的团队。
## 包含内容
- 一个打包的、全栈开源 SOC 实验室
- 将 12 款安全工具整合在单一部署中
- 基于 Docker Compose 的设置,实现可重复的启动和停止
- 用于威胁检测和告警的工作流
- 蓝队实践和培训场景
- 用于验证防御控制的对手模拟
- 支持日志审查和调查任务
- 事件响应和威胁狩猎的用例
## 安装说明
1. 通过克隆到本地获取存储库:
- `git clone https://github.com/willx24/advanced-soc-lab-v2-windows.git
2. 切换到项目目录:
- `cd advanced-soc-lab-v2.0`
3. 检查 Docker Compose 文件和环境设置。
4. 使用 Docker Compose 启动实验室:
- `docker compose up -d`
如果您更愿意使用打包的发布版本,请点击上方的下载链接,并使用其中包含的启动步骤。
## 使用实验室
环境启动后,在浏览器或您首选的客户端工具中打开各项服务,并开始探索这个安全技术栈。
常见的流程如下:
1. 使用 Docker Compose 启动环境。
2. 生成或导入日志和网络事件。
3. 在 SOC 工具中检查告警和检测结果。
4. 执行对手模拟以评估覆盖率。
5. 使用调查工具来支持事件响应和威胁狩猎。
示例命令:
- 启动服务:
- `docker compose up -d`
- 查看运行中的容器:
- `docker compose ps`
- 停止实验室:
- `docker compose down`
## 配置说明
所有配置都位于项目文件夹内的 Docker Compose 文件和相关的环境变量中。首次运行前,如果您的设置需要自定义值,请调整服务端口、存储位置和特定于工具的选项。
典型的模式如下所示:
```
services:
opensearch:
environment:
- discovery.type=single-node
suricata:
environment:
- RULE_SET=default
```
如果存储库提供了单独的 `.env` 文件或 compose override 文件,请使用它们将本地修改与核心技术栈定义分开。
## 环境要求
- Windows 主机平台
- 已安装 Docker 和 Docker Compose
- 足够的 CPU、内存和磁盘空间以运行多个安全服务
- 具备网络访问权限,以下载容器镜像和依赖项
- 浏览器或客户端访问权限,用于使用基于 Web 的工具,如 SIEM、日志分析和响应界面
由于这是一个多服务实验室,资源需求将根据您启用的工具和生成的数据量而有所不同。
## 常见问题解答
**这个项目是做什么用的?**
它用于在受控的实验室环境中进行 SOC 实践、蓝队培训、威胁检测测试、事件响应工作流和对手模拟。
**我需要手动安装每个工具吗?**
不需要。该技术栈旨在通过 Docker Compose 作为一个打包环境进行部署。
**如何更改实验室布局?**
编辑 compose 文件和环境设置,以匹配您想要的端口、存储路径和服务选项。
**如果某个服务无法启动怎么办?**
检查容器日志,确保 Docker 有足够的资源,并确认所需的端口未被占用。
**如何处理更新?**
使用项目发布或下载区域中的最新版本,然后在替换文件之前比较任何本地配置的更改。
## 许可证
GNU GPL v3.0 - 详情请参阅 [LICENSE](LICENSE)。
标签:AMSI绕过, Docker Compose, Metaprompt, PB级数据处理, 后端开发, 威胁检测, 安全实验环境, 安全运维, 安全运营, 扫描框架, 版权保护, 请求拦截, 速率限制