uss17127/SOC-Automation-Mimikatz-Credential-Dumping

# SOC 自动化 – Mimikatz 凭证转储检测实验室 ## 概述 本项目模拟了一个安全运营中心（SOC）检测环境，旨在识别使用 Mimikatz 的凭证转储攻击。该实验室测试检测可见性、日志遥测和警报逻辑，以评估防御性监控的有效性。 ## 展示的安全技能 - 检测工程 - 威胁模拟 - Windows 事件日志分析 - SIEM 调查工作流 - 事件分流 - MITRE ATT&CK 映射 - 警报验证与调优 ## 攻击场景 使用 Mimikatz 模拟了一次凭证转储攻击，以评估防御性监控系统是否能检测可疑活动并生成警报。 ## 检测方法论 检测基于识别以下内容： - 可疑进程执行 - 特权访问异常 - 已知的 Mimikatz 行为指标 - 异常认证活动 ## 检测工作流 1. 执行模拟攻击 2. 生成系统日志 3. 将日志转发至监控平台 4. 应用检测逻辑 5. 触发警报 6. 调查指标 ## 观察到的 MITRE ATT&CK 技术 - 凭证转储 (T1003) - 权限提升指标 - 凭证访问技术 ## 架构图 完整架构图请参阅下方的技术报告 PDF。 ## 证据 日志、警报和检测的截图包含在完整报告中。 ## 经验教训 - 初始规则需要调优以减少误报 - 增加日志详细程度提高了检测可见性 - 优化指标后，检测准确性有所提高 ## 未来改进 - 自动化警报丰富 - 威胁情报集成 - 扩展检测规则库 - 额外的攻击模拟 ## 完整技术演练 详细文档和截图： - [项目报告 (PDF)](https://github.com/uss17127/SOC-Automation-Mimikatz-Credential-Dumping/blob/main/SOC%20Automation%20Project.pdf)

标签：Cloudflare, Mimikatz, MITRE ATT&CK, SOC实验室, Windows安全日志, 凭据窃取, 协议分析, 子域名暴力破解, 子域枚举, 安全告警, 安全运营, 扫描框架, 权限提升, 混合加密, 管理员页面发现, 网络安全实验, 自动化检测, 蓝队防御, 误报调优