wb-security/cloudsecops-homelab

# CloudSecOps 家庭实验室 ### Warren Bowen | Tier II NOC/SOC 工程师 | CloudSecOps 路径 ## 概述 本仓库记录了我的个人 CloudSecOps 家庭实验室——一个用于培养和展示云安全工程技能的动手实践环境，这些技能也作为我在生产 SOC 经验的补充。 该实验室围绕四个相互关联的重点领域设计，旨在反映真实的企业安全架构：本地 Active Directory 基础设施、Microsoft Azure 云层、用于构建和调优检测逻辑的检测工程层，以及用于对手模拟和狩猎开发的紫队演练环节。 这是一个持续更新的项目。文档将在每个阶段构建并验证完成后添加。 ## 实验室架构 ``` ┌─────────────────────────────────────────────────────────┐ │ AZURE CLOUD LAYER │ │ Microsoft Sentinel │ Defender for Cloud │ Entra ID │ │ Log Analytics Workspace │ Security Center │ └──────────────────────────┬──────────────────────────────┘ │ Hybrid connectivity ┌──────────────────────────▼──────────────────────────────┐ │ ON-PREMISES ENVIRONMENT │ │ │ │ ┌─────────────────┐ ┌─────────────────────────┐ │ │ │ Windows Server │ │ Windows 10 Endpoint │ │ │ │ Domain Control │ │ Domain-joined client │ │ │ │ Active Director│ │ Simulated user target │ │ │ └─────────────────┘ └─────────────────────────┘ │ │ │ │ ┌─────────────────────────────────────────────────┐ │ │ │ Kali Linux Attack Box │ │ │ │ Adversary simulation / purple team ops │ │ │ └─────────────────────────────────────────────────┘ │ └─────────────────────────────────────────────────────────┘ ``` ## 重点领域 ### 1. Active Directory 攻击与防御 通过对同一环境进行攻击和防御，构建 AD 安全的基础知识。涵盖内容包括常见的 AD 攻击路径（Kerberoasting、AS-REP Roasting、Pass-the-Hash、DCSync）、针对每种技术的检测逻辑，以及经过真实攻击工具验证的加固对策。 ### 2. Azure 云安全 部署和配置 Microsoft 原生云安全技术栈：以 Microsoft Sentinel 作为云 SIEM，以 Defender for Cloud 进行安全态势管理和工作负载保护，并以 Entra ID 负责身份安全。通过混合标识将本地 AD 连接到 Azure，以模拟真实的企业环境。 ### 3. 检测工程 针对已知攻击技术编写、测试和调优检测规则。重点在于降低误报率，提高信号质量，并构建能够在对手规避尝试中存活的检测机制。所有检测都会记录其针对的攻击技术、依赖的日志源以及已知的规避路径。 ### 4. 威胁狩猎与紫队演练 使用 Kali Linux 作为针对 Windows 环境的对手平台，进行结构化的紫队演练。每次演练都会记录攻击路径、生成的日志产物、现有检测是否触发警报，以及识别出哪些新检测或日志源是缺失的。 ## 仓库结构 ``` cloudsecops-homelab/ ├── README.md ├── infrastructure/ │ ├── network-diagram.md │ ├── active-directory-setup.md │ ├── azure-environment-setup.md │ └── sentinel-workspace-config.md ├── active-directory/ │ ├── README.md │ ├── attack-techniques/ │ │ ├── kerberoasting.md │ │ ├── as-rep-roasting.md │ │ ├── pass-the-hash.md │ │ └── dcsync.md │ └── defenses/ │ ├── tiered-admin-model.md │ └── ad-hardening-checklist.md ├── azure-security/ │ ├── README.md │ ├── sentinel-setup.md │ ├── defender-for-cloud-config.md │ ├── entra-id-hardening.md │ └── conditional-access-policies.md ├── detection-engineering/ │ ├── README.md │ ├── detection-template.md │ └── detections/ │ ├── kerberoasting-detection.md │ ├── impossible-travel-detection.md │ └── inbox-forwarding-rule-detection.md └── purple-team/ ├── README.md ├── exercise-template.md └── exercises/ └── (exercises added as completed) ``` ## 构建路线图 ### 阶段 1 — 本地基础 *(进行中)* - [ ] Windows Server — 域控制器设置和 AD 配置 - [ ] Windows 10 端点 — 域加入和基线配置 - [ ] Kali Linux — 攻击工具设置 - [ ] 基础 AD 攻防文档 ### 阶段 2 — Azure 集成 - [ ] Azure 租户设置和 Log Analytics Workspace - [ ] Microsoft Sentinel 部署和本地日志转发 - [ ] 启用 Defender for Cloud - [ ] Entra ID 混合标识配置 ### 阶段 3 — 检测工程 - [ ] 检测规则模板和文档标准 - [ ] 针对阶段 1 AD 攻击技术的初始检测集 - [ ] 误报调优和规避测试 ### 阶段 4 — 紫队演练 - [ ] 结构化演练格式和文档模板 - [ ] 首次完整演练：端到端 Kerberoasting - [ ] 检测差距分析和补救 ## 工具与平台 | 类别 | 工具 | |---|---| | 云 SIEM | Microsoft Sentinel | | 云安全态势 | Microsoft Defender for Cloud | | 身份管理 | Microsoft Entra ID (Azure AD) | | 本地目录服务 | Active Directory Domain Services | | 对手模拟 | Kali Linux, Impacket, Mimikatz, BloodHound | | AD 枚举 | BloodHound, SharpHound, PowerView | | 检测开发 | KQL (Kusto Query Language) | | 虚拟化 | *(待记录)* | ## 相关内容 - [安全运营作品集](https://github.com/wb-security/security-operations-portfolio) — 来自我作为 Tier II NOC/SOC 工程师的生产 SOC 方法论、案例研究和文档标准

标签：Active Directory, adversary仿真, AD域攻击与防御, Azure, CloudSecOps, CSPM, Defender for Cloud, Detection Engineering, Entra ID, Homelab, IAM, IP 地址批量处理, Log Analytics Workspace, Microsoft Sentinel, Plaso, Purple Team, Python 实现, SecOps, SOC工程师, TinkerPop, Web报告查看器, Windows 10, Windows Server, 云安全态势管理, 云安全架构, 前端应用, 安全信息与事件管理, 安全实验室, 安全架构, 安全运营, 安全运营中心, 家庭实验室, 微软云, 扫描框架, 搜索引擎爬取, 混合云架构, 端点安全, 紫队, 网络安全实验, 网络安全审计, 网络映射, 补丁管理, 身份与访问管理, 防御策略