0x0allenace/ecorp-initial-dfir-lab

# 🛡️ ECorp DFIR 实验室模拟 ## 概述 **ECorp DFIR 实验室模拟**是一个实践性网络安全实验室，旨在复制小型企业网络环境，用于**数字取证与事件响应 (DFIR)**。 该项目使用以下组件模拟企业 LAN 环境： - Active Directory 基础设施 - 使用 pfSense 的网络分段 - 使用 Velociraptor 的端点可见性 - 使用 Kali Linux 的对手模拟 该实验室为练习**事件检测、调查和响应工作流**提供了一个受控环境。 ## 目标 - 构建逼真的企业 DFIR 实验室 - 在企业网络内模拟攻击者活动 - 练习日志收集、分析和取证调查 - 开发结构化的事件响应工作流 - 理解端点和网络级别的可见性 ## 实验室架构 模拟环境包括： - **pfSense Firewall/Router** → 网络分段和流量控制 - **Windows Active Directory** → 域控制器和用户管理 - **Velociraptor Server/Agents** → 端点可见性和取证收集 - **Kali Linux Attacker Machine** → 对手模拟 ## 用例 - 事件响应模拟 - 威胁搜寻练习 - DFIR 工作流开发 - 恶意软件调查（安全环境） - 日志分析和关联 ## 📂 仓库结构 ``` ECorp-Initial-DFIR-Lab-Simulation/ │ ├── docs/ # Lab setup guides and topology documentation ├── configs/ # Velociraptor and pfSense configurations ├── templates/ # Incident response checklists and templates └── README.md ``` ## 设置指南 详细的设置说明可在 `/docs` 目录中找到。 ### 基本步骤： 1. 设置 pfSense 用于网络路由和分段 2. 部署 Windows Server 并配置 Active Directory 3. 安装 Velociraptor server 和 agents 4. 配置端点和日志记录 5. 启动 Kali Linux 进行攻击模拟 ## DFIR 工作流 该实验室支持： - 检测可疑活动 - 通过 Velociraptor 收集端点数据 - 日志分析和时间线重建 - 调查攻击者行为 - 事件文档和报告 ## 包含资源 - 实验室拓扑和设置文档 (`/docs`) - 配置文件 (`/configs`) - 事件响应模板 (`/templates`) ## 未来改进 - [ ] 添加 SIEM 集成 (Splunk / ELK) - [ ] 模拟真实世界的攻击场景（横向移动、持久化） - [ ] 添加自动检测规则 - [ ] 扩展网络规模和分段 - [ ] 包含样本取证数据集 ## 👨🏾‍💻 作者 **Allen Ace** 网络安全 | DFIR | 威胁分析 | 机器学习 - GitHub: https://github.com/0x0allenace - LinkedIn: https://linkedin.com/in/allen-ace-soc-analyst - X: https://x.com/allen_acee ## 许可证 MIT License

标签：Active Directory, DAST, EDR, MacOS取证, OPA, PE 加载器, pfSense, Plaso, Terraform 安全, Velociraptor, Web报告查看器, 事件响应工作流, 企业网络模拟, 域环境, 安全运营, 恶意软件分析, 扫描框架, 攻击者模拟, 数字取证与事件响应, 流量控制, 用户态调试, 网络分段, 网络安全实验环境, 脆弱性评估, 靶场