Homelab SOC #01 - Presentación del proyecto


Durante los últimos años mi carrera profesional ha estado muy ligada a la infraestructura tecnológica, Linux, monitoreo, gestión de incidentes, automatización y continuidad operativa.

En paralelo, siempre he sentido una enorme curiosidad por la ciberseguridad.

Esa curiosidad me llevó a estudiar pentesting, practicar en laboratorios como TryHackMe y DockerLabs, obtener la certificación eJPTv2 y comenzar a documentar mi proceso de aprendizaje en este blog.

Sin embargo, mientras revisaba ofertas laborales para posiciones como SOC Analyst, Blue Team o Detection Engineer, me encontraba constantemente con el mismo requisito: Experiencia previa.

Y apareció una pregunta que probablemente muchos también se han hecho.

¿Cómo conseguir experiencia si nadie te da la primera oportunidad?

En lugar de seguir acumulando únicamente cursos y certificaciones, decidí construir mi propio laboratorio.

No para replicar un tutorial.

No para instalar herramientas y olvidarlas.

Sino para aprender realmente cómo funciona un Security Operations Center.

Así nace Homelab SOC.


¿Qué es Homelab SOC?

Homelab SOC es un proyecto personal donde documentaré paso a paso la construcción de un pequeño Centro de Operaciones de Seguridad completamente funcional utilizando herramientas Open Source.

El objetivo es comprender cómo trabajan los analistas SOC y cómo interactúan las diferentes tecnologías que permiten detectar, investigar y responder ante incidentes de seguridad.

No será únicamente un laboratorio de Wazuh.

Será un entorno que irá evolucionando poco a poco, incorporando nuevas herramientas, nuevos servicios y nuevos escenarios conforme avance mi aprendizaje.


La filosofía del proyecto

Quiero que este laboratorio sea completamente transparente.

No pienso mostrar únicamente cuando todo funciona.

También documentaré:

  • Los errores.
  • Las configuraciones que no funcionaron.
  • Los problemas encontrados.
  • Las decisiones de arquitectura.
  • Las alternativas evaluadas.
  • Las mejoras implementadas.

Considero que esa parte también forma parte del aprendizaje y probablemente sea la más valiosa.


Objetivos

Entre los objetivos principales del proyecto se encuentran:

  • Comprender cómo funciona un SOC moderno.
  • Aprender el uso de herramientas utilizadas por equipos Blue Team.
  • Implementar un entorno de monitoreo centralizado.
  • Detectar actividad sospechosa.
  • Comprender el flujo de eventos.
  • Analizar evidencias.
  • Simular ataques controlados.
  • Practicar Threat Hunting.
  • Comprender MITRE ATT&CK.
  • Automatizar procesos.
  • Construir dashboards.
  • Documentar todo el laboratorio para la comunidad.

Tecnologías previstas

Este laboratorio irá creciendo poco a poco.

Las tecnologías previstas para las siguientes fases incluyen:

  • Wazuh
  • Elastic Stack
  • Sysmon
  • Suricata IDS
  • MITRE ATT&CK
  • Sigma Rules
  • Velociraptor
  • Docker
  • VirtualBox
  • Debian Server
  • Ubuntu Server
  • Windows 11
  • Kali Linux

Y probablemente muchas más conforme el laboratorio evolucione.


Mi laboratorio

Todo el proyecto será construido utilizando mi estación de trabajo personal.

Equipo Host

──────────────────────────────────────────────

Hardware:

──────────────────────────────────────────────

🖥 Host: HP ZBook Power G7 Mobile Workstation

🧠 CPU: Intel Core i7-10750H 6 Cores / 12 Threads Hasta 5.0 GHz

💾 RAM: 32 GB DDR4

💿 Storage: NVMe #1 1 TB (btrfs) NVMe #2 1 TB (btrfs)

🎮 GPU: NVIDIA Quadro P620 Intel UHD Graphics

──────────────────────────────────────────────

Software:

──────────────────────────────────────────────

🐧 OS: Arch Linux

⚙ Kernel: Linux 7.1.3

🪟 WM: Hyprland

🖥 Terminal: kitty

📦 Packages: 1297

🖥 Hypervisor: VirtualBox

Arch Linux será el sistema operativo anfitrión donde se ejecutarán todas las máquinas virtuales del laboratorio.


Arquitectura inicial

La primera versión del laboratorio estará compuesta por cinco equipos.

Máquina:Función:
Arch LinuxEquipo Host
Debian ServerServidor principal del SOC
Windows 11Agente con Sysmon
Ubuntu ServerSegundo agente Linux
Kali LinuxSimulación de ataques

Conforme avance el proyecto seguramente aparecerán nuevos servicios y nuevas máquinas virtuales.


¿Qué espero aprender?

Al finalizar esta serie espero haber desarrollado experiencia práctica en:

  • Administración de Wazuh.
  • Configuración de agentes.
  • SIEM.
  • Gestión de eventos.
  • Sysmon.
  • Suricata.
  • MITRE ATT&CK.
  • Threat Hunting.
  • Detección de amenazas.
  • Respuesta ante incidentes.
  • Dashboards.
  • Automatización.

Más importante aún, quiero comprender cómo trabajan todas estas herramientas en conjunto.


Roadmap

Fase 1 — Infraestructura

✅ Homelab SOC #01 — Presentación del proyecto

✅ Homelab SOC #02 — Arquitectura del laboratorio

✅ Homelab SOC #03 — Preparando el Host (Arch Linux)

✅ Homelab SOC #04 — Virtualización con VirtualBox

✅ Homelab SOC #05 — Instalación de Debian Server


Fase 2 — Construcción del SOC

⏳ Homelab SOC #06 — Instalación de Wazuh

⏳ Homelab SOC #07 — Incorporando el primer agente

⏳ Homelab SOC #08 — Windows 11 + Sysmon

⏳ Homelab SOC #09 — Ubuntu Server

⏳ Homelab SOC #10 — Integrando Suricata IDS

⏳ Homelab SOC #11 — MITRE ATT&CK


Fase 3 — Operación

⏳ Homelab SOC #12 — Dashboards

⏳ Homelab SOC #13 — Automatización

⏳ Homelab SOC #14 — Simulación de ataques

⏳ Homelab SOC #15 — Threat Hunting

⏳ Homelab SOC #16 — Casos prácticos y mejora continua


Estado del proyecto
███████░░░░░░░░░░░░░░░ 30%

✔ Idea definida

✔ Hardware preparado

✔ Roadmap creado

✔ Arquitectura diseñada

✔ Virtualización

✔ Debian Server

□ Wazuh

□ Agentes

□ Sysmon

□ Suricata

□ Dashboards

□ Automatización

□ Simulación de ataques

□ Threat Hunting

Lo aprendido

Este proyecto representa un nuevo reto personal.

No espero construir un laboratorio perfecto desde el primer día.

Seguramente romperé configuraciones.

Tendré que reinstalar máquinas virtuales.

Cometeré errores.

Cambiaré decisiones de arquitectura.

Y descubriré herramientas que hoy todavía ni siquiera tengo contempladas.

Pero precisamente esa será la esencia de Homelab SOC.

No documentar únicamente el resultado.

Sino documentar todo el proceso.

Espero que esta serie pueda servir como guía para cualquier persona que, al igual que yo, quiera comenzar a construir experiencia práctica en ciberseguridad mediante un laboratorio propio.

Si dentro de algunos meses miro hacia atrás y puedo ver la evolución de este proyecto, habré conseguido mucho más que instalar un conjunto de herramientas.

Habré construido experiencia.

Y justamente ese fue el motivo por el que Homelab SOC comenzó.

Bienvenido.

Nos vemos en el siguiente capítulo, donde diseñaremos la arquitectura completa del laboratorio y comenzaremos a construir este pequeño SOC desde cero.