🛡️ Windows RDP 暴力破解检测与 SIEM 调查实验室

RDP 认证监控、Windows 事件日志调查与 SOC 检测工作流

# 📑 目录 - [项目概述](#-project-overview) - [目标](#-objectives) - [实验室架构](#️-lab-architecture) - [架构图](#️-architecture-diagram) - [使用的工具与技术](#️-tools--technologies-used) - [攻击模拟工作流](#️-attack-simulation-workflow) - [Windows 事件日志分析](#-windows-event-log-analysis) - [检测与调查发现](#-detection--investigation-findings) - [入侵指标](#-indicators-of-compromise-iocs) - [MITRE ATT&CK 映射](#-mitre-attck-mapping) - [PowerShell 日志搜寻](#-powershell-log-hunting) - [事件时间线](#-incident-timeline) - [缓解建议](#️-mitigation-recommendations) - [经验教训](#-lessons-learned) - [截图](#️-screenshots) - [关于分析师](#-about-the-analyst)
# 📌 项目概述 本项目模拟了针对 Windows Server 2022 系统的可疑远程桌面协议认证活动，旨在演示 SOC 分析师如何调查 Windows 认证日志并识别潜在的暴力破解行为。 实验室环境使用 VirtualBox 搭建，包含： - Kali Linux 作为攻击机 - Windows Server 2022 作为受害者机器 项目重点在于： - Windows 安全事件日志分析 - RDP 认证监控 - 失败与成功登录调查 - 事件 ID 分析 - 基于 PowerShell 的日志搜寻 - SOC 调查工作流 - MITRE ATT&CK 映射 模拟期间，从 Kali Linux 向 Windows Server 2022 生成了多次失败和成功的 RDP 认证尝试。认证日志被收集、转发至 Splunk Enterprise SIEM，并使用 Windows 事件查看器、PowerShell、Sysmon 和 Splunk SPL 查询进行了调查。 调查重点在于检测： - 失败的 RDP 认证尝试 (事件 ID 4625) - 成功的 RDP 入侵确认 (事件 ID 4624 - 登录类型 10) - 认证来源关联 - 入侵指标识别 - 基于 SIEM 的检测工作流 - 认证后调查概念
# 🎯 目标 - 在受控的实验室环境中模拟 RDP 认证活动 - 分析 Windows 安全事件日志 - 调查与认证活动相关的事件 ID - 理解 SOC 分析师如何调查可疑登录行为 - 执行基于 PowerShell 的日志搜寻 - 识别失败和成功的 RDP 认证尝试 - 将认证事件与源 IP 地址关联 - 将 MITRE ATT&CK 映射应用于攻击行为 - 学习 SOC 环境中使用的防御性监控概念
# 🏗️ 实验室架构 ## 环境配置 | 组件 | 描述 | |-----------|-------------| | 攻击机 | Kali Linux | | 受害者机器 | Windows Server 2022 | | 虚拟化平台 | VirtualBox | | 网络配置 | NAT + 仅主机适配器 | | 监控工具 | Windows 事件查看器 + Splunk Enterprise | | 日志搜寻工具 | PowerShell + Splunk SPL | | SIEM | Splunk Enterprise（宿主机） | | 日志转发 | Splunk Universal Forwarder + Sysmon | | 目标协议 | RDP（端口 3389） |
## 实验室工作流 1. 在虚拟实验室环境中配置 Kali Linux 和 Windows Server 2022 2. 在 Windows Server 上启用远程桌面协议 (RDP) 3. 创建专用的 RDP 测试用户账户 4. 验证两个系统之间的网络连接 5. 生成成功和失败的 RDP 认证尝试 6. 调查 Windows 安全事件日志 7. 安装 Sysmon 以增强遥测收集 8. 在 Windows Server 2022 上配置 Splunk Universal Forwarder 9. 将 Windows 安全日志转发到 Splunk Enterprise SIEM 10. 使用 SPL 查询执行基于 SIEM 的认证调查
## 🖼️ 架构图 ``` flowchart LR subgraph LAB[VirtualBox Lab Environment] A[Kali Linux
Attacker Machine
192.168.56.10] B[Windows Server 2022
Victim Machine
192.168.56.110
RDP Enabled] A -- RDP Authentication
Port 3389 --> B B --> C[Windows Event Viewer
Security Log Analysis
Event ID 4624
Event ID 4625] B --> D[PowerShell Event Hunting
Authentication Investigation
Get-WinEvent] C --> E[SOC Investigation Workflow] D --> E end ```
# 🛠️ 使用的工具与技术 | 工具 / 技术 | 用途 | |-------------------|---------| | Kali Linux | 认证测试 | | Windows Server 2022 | 目标系统 | | Windows 事件查看器 | 安全日志分析 | | PowerShell | 事件搜寻与过滤 | | VirtualBox | 虚拟实验室环境 | | RDP | 远程认证协议 |
## 展示的技术技能 - Windows 事件日志分析 - 认证监控 - RDP 安全调查 - PowerShell 事件搜寻 - 事件 ID 分析 - 事件调查 - MITRE ATT&CK 映射 - 威胁检测概念 - SOC 调查工作流
# ⚔️ 攻击模拟工作流 ## 步骤 1 — 环境准备 使用 VirtualBox 创建了一个受控的实验室环境，包含 Kali Linux 和 Windows Server 2022。
## 步骤 2 — RDP 配置 在 Windows Server 2022 上启用了 RDP 并验证了端口 3389 的可用性。
## 步骤 3 — 用户账户配置 创建了一个名为 `socuser` 的专用用户账户，并将其添加到远程桌面用户组。
## 步骤 4 — 认证测试 从 Kali Linux 生成了成功和失败的 RDP 登录尝试。
## 步骤 5 — 事件日志调查 使用以下工具分析了 Windows 安全日志： - 事件查看器 - PowerShell 日志搜寻命令
## 步骤 6 — 检测分析 使用以下内容关联了认证事件： - 事件 ID - 源 IP 地址 - 登录类型 - 认证时间戳
# 📊 Windows 事件日志分析 ## 重要的 Windows 事件 ID | 事件 ID | 描述 | |----------|-------------| | 4625 | 登录尝试失败 | | 4624 | 登录成功 | | 4776 | NTLM 认证 | | 4672 | 特殊权限分配 |
## 事件 ID 4625 — 认证失败 在失败的 RDP 认证尝试期间生成了事件 ID 4625。 调查识别出： - 无效的密码尝试 - 源 IP 地址 - 失败的认证模式 - NTLM 认证活动 - 远程登录行为
## 事件 ID 4624 — 认证成功 在成功的 RDP 认证之后生成了事件 ID 4624。 日志确认了： - 成功的远程登录活动 - 用户会话创建 - RDP 认证成功 - 登录类型 10 活动 - 源系统识别
# 🔍 检测与调查发现 调查揭示了源自 Kali Linux 系统、通过 RDP 针对 Windows Server 2022 机器的重复失败认证尝试。 主要发现包括： - 多次失败的 RDP 登录尝试 - 事件 ID 4625 认证失败 - 成功的事件 ID 4624 RDP 登录 - NTLM 认证活动 - 与 RDP 访问关联的登录类型 10 - 源 IP 与攻击者系统的关联 此工作流演示了 SOC 分析师如何调查可疑的认证活动并在 Windows 环境中识别潜在的暴力破解行为。
# 🚨 入侵指标 | IOC 类型 | 观察到的值 | |----------|----------------| | 源 IP 地址 | 192.168.56.10 | | 目标系统 | Windows Server 2022 | | 攻击方法 | RDP 认证尝试 | | 失败的日志事件 | 事件 ID 4625 | | 成功的日志事件 | 事件 ID 4624 | | 认证协议 | NTLM | | 目标用户账户 | socuser |
# 🧠 MITRE ATT&CK 映射 | 技术 | MITRE ATT&CK ID | 描述 | |-----------|-----------------|-------------| | 暴力破解 | T1110 | 重复的认证尝试 | | 远程服务 | T1021.001 | 滥用远程桌面协议 | | 有效账户 | T1078 | 使用合法凭证 |
## MITRE 分析 观察到的行为符合通常与针对暴露的 RDP 服务的暴力破解活动相关的认证攻击技术。 该项目展示了 Windows 认证日志如何帮助 SOC 分析师识别可疑的远程访问行为。
# 💻 PowerShell 日志搜寻 ## 失败的认证事件 — 事件 ID 4625 ``` Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4625} ```
## 成功的认证事件 — 事件 ID 4624 ``` Get-WinEvent -LogName Security | Where-Object {$_.Id -eq 4624} ```
## PowerShell 调查目的 这些命令用于： - 过滤 Windows 认证事件 - 调查失败的登录尝试 - 识别成功的 RDP 认证活动 - 执行手动事件搜寻 - 理解 Windows 安全日志行为
# 🕒 事件时间线 | 时间 | 活动 | |------|-----------| | 10:01 | Kali Linux 攻击机初始化 | | 10:02 | 网络连接验证执行 | | 10:03 | RDP 配置验证完成 | | 10:04 | 生成失败的认证尝试 | | 10:05 | 记录事件 ID 4625 日志 | | 10:06 | 执行成功的 RDP 认证 | | 10:07 | 记录事件 ID 4624 日志 | | 10:08 | 执行 Windows 事件日志调查 | | 10:10 | 执行 PowerShell 日志搜寻 | | 10:12 | 完成认证分析 |
# 🛡️ 缓解建议 - 启用多因素认证 (MFA) - 使用 VPN 限制 RDP 访问 - 实施账户锁定策略 - 强制执行强密码策略 - 禁用不必要的远程访问暴露 - 定期监控 Windows 安全日志 - 对 RDP 服务应用防火墙限制 - 启用集中式日志记录解决方案 - 执行持续的认证监控
# 📚 经验教训 - Windows 认证监控的重要性 - 暴露的 RDP 服务相关的风险 - 调查期间事件 ID 分析的重要性 - 基于 PowerShell 的日志搜寻的价值 - 理解 RDP 活动的登录类型 10 - 关联失败和成功认证事件的重要性 - 主动安全监控的好处
## 项目成果 本项目提供了以下方面的实践经验： - Windows 事件日志调查 - 认证监控 - PowerShell 事件搜寻 - RDP 安全分析 - 事件调查工作流 - SOC 检测概念 - 认证事件关联
# 🖼️ 截图 以下截图记录了本项目期间执行的完整 SOC 调查工作流。 | 截图 | 描述 | |------------|-------------| | [01-lab-setup.png](Screenshots/01-lab-setup.png) | VirtualBox 实验室环境设置 | | [02-kali-to-windows-connectivity.jpg](Screenshots/02-kali-to-windows-connectivity.jpg) | 从 Kali Linux 进行的连接验证 | | [03-windows-to-kali-connectivity.jpg](Screenshots/03-windows-to-kali-connectivity.jpg) | 从 Windows Server 进行的连接验证 | | [04-rdp-enabled-configuration.jpg](Screenshots/04-rdp-enabled-configuration.jpg) | 在 Windows Server 2022 上启用 RDP | | [05-rdp-port-verification.jpg](Screenshots/05-rdp-port-verification.jpg) | RDP 端口 3389 验证 | | [06-test-user-account-creation.jpg](Screenshots/06-test-user-account-creation.jpg) | SOC 测试用户创建 | | [07-test-user-account-created.jpg](Screenshots/07-test-user-account-created.jpg) | 创建的用户账户验证 | | [08-add-user-to-remote-desktop-users-group.jpg](Screenshots/08-add-user-to-remote-desktop-users-group.jpg) | 将用户添加到远程桌面用户组 | | [09-rdp-user-group-assignment.jpg](Screenshots/09-rdp-user-group-assignment.jpg) | RDP 组分配验证 | | [10-rdp-successful-authentication-command.png](Screenshots/10-rdp-successful-authentication-command.png) | 成功的 RDP 认证命令 | | [11-successful-rdp-login-from-kali-to-windows-server.jpg](Screenshots/11-successful-rdp-login-from-kali-to-windows-server.jpg) | 成功的 RDP 会话 | | [12-rdp-failed-login-attempts-from-kali.png](Screenshots/12-rdp-failed-login-attempts-from-kali.png) | 失败的 RDP 认证尝试 | | [13-eventid-4625-failed-rdp-logon-analysis.jpg](Screenshots/13-eventid-4625-failed-rdp-logon-analysis.jpg) | 事件 ID 4625 调查 | | [14-failed-rdp-authentication-event-4625.jpg](Screenshots/14-failed-rdp-authentication-event-4625.jpg) | 失败的认证日志分析 | | [15-successful-rdp-authentication-event-4624-logon-type.jpg](Screenshots/15-successful-rdp-authentication-event-4624-logon-type.jpg) | 事件 ID 4624 分析 | | [16-security-log-authentication-analysis-overview.jpg](Screenshots/16-security-log-authentication-analysis-overview.jpg) | Windows 安全日志调查 | | [17-eventid-4625-failed-logon-powershell-query.jpg](Screenshots/17-eventid-4625-failed-logon-powershell-query.jpg) | 用于失败登录的 PowerShell 查询 | | [18-eventid-4624-successful-logon-powershell-query.jpg](Screenshots/18-eventid-4624-successful-logon-powershell-query.jpg) | 用于成功登录的 PowerShell 查询 |
# 📌 调查证据总结 上述截图提供了以下方面的记录证据： - RDP 环境配置 - 网络连接验证 - 认证测试工作流 - 成功和失败的 RDP 登录尝试 - Windows 安全事件日志调查 - 事件 ID 4624 和 4625 分析 - 基于 PowerShell 的认证搜寻 - SOC 调查和检测工作流
# 👩‍💻 关于分析师 ## 普里扬卡·拉内 L1 SOC 分析师 | 威胁检测与事件响应 📧 ranepriyanka567@gmail.com 🔗 LinkedIn: https://www.linkedin.com/in/priyanka-rane-606a71257/

标签：AI合规, Cloudflare, Conpot, MITRE ATT&CK, OpenCanary, PowerShell脚本, RDP安全, SIEM调查, SOC工作流程, Splunk Enterprise, Sysmon监控, Windows Server, Windows安全, 事件日志, 免杀技术, 安全实验室, 安全运营中心, 攻击模拟, 暴力破解检测, 缓解建议, 网络安全, 网络映射, 虚拟化实验室, 遥测数据, 隐私保护, 驱动签名利用