Homelab SOC #01 - Presentación del proyecto
Durante los últimos años mi carrera profesional ha estado muy ligada a la infraestructura tecnológica, Linux, monitoreo, gestión de incidentes, automatización y continuidad operativa.
En paralelo, siempre he sentido una enorme curiosidad por la ciberseguridad.
Esa curiosidad me llevó a estudiar pentesting, practicar en laboratorios como TryHackMe y DockerLabs, obtener la certificación eJPTv2 y comenzar a documentar mi proceso de aprendizaje en este blog.
Sin embargo, mientras revisaba ofertas laborales para posiciones como SOC Analyst, Blue Team o Detection Engineer, me encontraba constantemente con el mismo requisito: Experiencia previa.
Y apareció una pregunta que probablemente muchos también se han hecho.
¿Cómo conseguir experiencia si nadie te da la primera oportunidad?
Hace algunos días encontré una publicación de Daniel Ramírez Atienza en LinkedIn que resumía perfectamente esa realidad.
“Si no te contratan, no tienes experiencia, y si no tienes experiencia, no te contratan.”
Más que ofrecer una solución mágica, su publicación invitaba a construir experiencia por cuenta propia mediante un laboratorio personal.
Esa idea terminó siendo el detonante de este proyecto.
Puedes leer la publicación aquí.
Publicación de Daniel Ramírez AtienzaEn lugar de seguir acumulando únicamente cursos y certificaciones, decidí construir mi propio laboratorio.
No para replicar un tutorial.
No para instalar herramientas y olvidarlas.
Sino para aprender realmente cómo funciona un Security Operations Center.
Así nace Homelab SOC.
¿Qué es Homelab SOC?
Homelab SOC es un proyecto personal donde documentaré paso a paso la construcción de un pequeño Centro de Operaciones de Seguridad completamente funcional utilizando herramientas Open Source.
El objetivo es comprender cómo trabajan los analistas SOC y cómo interactúan las diferentes tecnologías que permiten detectar, investigar y responder ante incidentes de seguridad.
No será únicamente un laboratorio de Wazuh.
Será un entorno que irá evolucionando poco a poco, incorporando nuevas herramientas, nuevos servicios y nuevos escenarios conforme avance mi aprendizaje.
El propósito principal de esta serie es construir experiencia práctica.
Cada publicación documentará no solamente las configuraciones realizadas, sino también los errores encontrados, las decisiones tomadas y las lecciones aprendidas durante el proceso.
Porque aprender también significa equivocarse.
La filosofía del proyecto
Quiero que este laboratorio sea completamente transparente.
No pienso mostrar únicamente cuando todo funciona.
También documentaré:
- Los errores.
- Las configuraciones que no funcionaron.
- Los problemas encontrados.
- Las decisiones de arquitectura.
- Las alternativas evaluadas.
- Las mejoras implementadas.
Considero que esa parte también forma parte del aprendizaje y probablemente sea la más valiosa.
Objetivos
Entre los objetivos principales del proyecto se encuentran:
- Comprender cómo funciona un SOC moderno.
- Aprender el uso de herramientas utilizadas por equipos Blue Team.
- Implementar un entorno de monitoreo centralizado.
- Detectar actividad sospechosa.
- Comprender el flujo de eventos.
- Analizar evidencias.
- Simular ataques controlados.
- Practicar Threat Hunting.
- Comprender MITRE ATT&CK.
- Automatizar procesos.
- Construir dashboards.
- Documentar todo el laboratorio para la comunidad.
Tecnologías previstas
Este laboratorio irá creciendo poco a poco.
Las tecnologías previstas para las siguientes fases incluyen:
- Wazuh
- Elastic Stack
- Sysmon
- Suricata IDS
- MITRE ATT&CK
- Sigma Rules
- Velociraptor
- Docker
- VirtualBox
- Debian Server
- Ubuntu Server
- Windows 11
- Kali Linux
Y probablemente muchas más conforme el laboratorio evolucione.
Mi laboratorio
Todo el proyecto será construido utilizando mi estación de trabajo personal.
Equipo Host
──────────────────────────────────────────────
Hardware:
──────────────────────────────────────────────
🖥 Host: HP ZBook Power G7 Mobile Workstation
🧠 CPU: Intel Core i7-10750H 6 Cores / 12 Threads Hasta 5.0 GHz
💾 RAM: 32 GB DDR4
💿 Storage: NVMe #1 1 TB (btrfs) NVMe #2 1 TB (btrfs)
🎮 GPU: NVIDIA Quadro P620 Intel UHD Graphics
──────────────────────────────────────────────
Software:
──────────────────────────────────────────────
🐧 OS: Arch Linux
⚙ Kernel: Linux 7.1.3
🪟 WM: Hyprland
🖥 Terminal: kitty
📦 Packages: 1297
🖥 Hypervisor: VirtualBox
Arch Linux será el sistema operativo anfitrión donde se ejecutarán todas las máquinas virtuales del laboratorio.
Arquitectura inicial
La primera versión del laboratorio estará compuesta por cinco equipos.
| Máquina: | Función: |
|---|---|
| Arch Linux | Equipo Host |
| Debian Server | Servidor principal del SOC |
| Windows 11 | Agente con Sysmon |
| Ubuntu Server | Segundo agente Linux |
| Kali Linux | Simulación de ataques |
Conforme avance el proyecto seguramente aparecerán nuevos servicios y nuevas máquinas virtuales.
¿Qué espero aprender?
Al finalizar esta serie espero haber desarrollado experiencia práctica en:
- Administración de Wazuh.
- Configuración de agentes.
- SIEM.
- Gestión de eventos.
- Sysmon.
- Suricata.
- MITRE ATT&CK.
- Threat Hunting.
- Detección de amenazas.
- Respuesta ante incidentes.
- Dashboards.
- Automatización.
Más importante aún, quiero comprender cómo trabajan todas estas herramientas en conjunto.
Roadmap
Fase 1 — Infraestructura
✅ Homelab SOC #01 — Presentación del proyecto
✅ Homelab SOC #02 — Arquitectura del laboratorio
✅ Homelab SOC #03 — Preparando el Host (Arch Linux)
✅ Homelab SOC #04 — Virtualización con VirtualBox
✅ Homelab SOC #05 — Instalación de Debian Server
Fase 2 — Construcción del SOC
⏳ Homelab SOC #06 — Instalación de Wazuh
⏳ Homelab SOC #07 — Incorporando el primer agente
⏳ Homelab SOC #08 — Windows 11 + Sysmon
⏳ Homelab SOC #09 — Ubuntu Server
⏳ Homelab SOC #10 — Integrando Suricata IDS
⏳ Homelab SOC #11 — MITRE ATT&CK
Fase 3 — Operación
⏳ Homelab SOC #12 — Dashboards
⏳ Homelab SOC #13 — Automatización
⏳ Homelab SOC #14 — Simulación de ataques
⏳ Homelab SOC #15 — Threat Hunting
⏳ Homelab SOC #16 — Casos prácticos y mejora continua
Estado del proyecto
███████░░░░░░░░░░░░░░░ 30%
✔ Idea definida
✔ Hardware preparado
✔ Roadmap creado
✔ Arquitectura diseñada
✔ Virtualización
✔ Debian Server
□ Wazuh
□ Agentes
□ Sysmon
□ Suricata
□ Dashboards
□ Automatización
□ Simulación de ataques
□ Threat Hunting
Todo el contenido publicado en esta serie será realizado sobre un laboratorio completamente controlado utilizando máquinas virtuales y escenarios creados exclusivamente con fines educativos.
Las simulaciones de ataque tendrán como único propósito comprender el funcionamiento de las herramientas de detección, fortalecer las capacidades defensivas y adquirir experiencia práctica en ciberseguridad.
Lo aprendido
Este proyecto representa un nuevo reto personal.
No espero construir un laboratorio perfecto desde el primer día.
Seguramente romperé configuraciones.
Tendré que reinstalar máquinas virtuales.
Cometeré errores.
Cambiaré decisiones de arquitectura.
Y descubriré herramientas que hoy todavía ni siquiera tengo contempladas.
Pero precisamente esa será la esencia de Homelab SOC.
No documentar únicamente el resultado.
Sino documentar todo el proceso.
Espero que esta serie pueda servir como guía para cualquier persona que, al igual que yo, quiera comenzar a construir experiencia práctica en ciberseguridad mediante un laboratorio propio.
Si dentro de algunos meses miro hacia atrás y puedo ver la evolución de este proyecto, habré conseguido mucho más que instalar un conjunto de herramientas.
Habré construido experiencia.
Y justamente ese fue el motivo por el que Homelab SOC comenzó.
Bienvenido.
Nos vemos en el siguiente capítulo, donde diseñaremos la arquitectura completa del laboratorio y comenzaremos a construir este pequeño SOC desde cero.