jairos07/AD-Attack-Detection-Lab

# Wazuh AD Attack Lab 模拟针对 **Active Directory** 域的完整攻击链并记录从 **SIEM Wazuh** 进行检测的网络安全实验室。目标是展示攻击方（红队）和防御方（蓝队 / SOC 分析师）的技能。 ## 环境 | 主机 | IP | 操作系统 | 角色 | |---|---|---|---| | DC01 | 192.168.100.10 | Windows Server 2022 | 域控制器 — lab.local | | WS01 | 192.168.100.20 | Windows 10 | 工作站 | | Kali Linux | 192.168.100.30 | Kali Linux | 攻击者 | | Wazuh Server | 192.168.100.120 | Ubuntu Server 22.04 | SIEM — Wazuh 4.11.2 | 基础设施部署在 **Proxmox** 的隔离 VLAN（192.168.100.0/24）中，模拟分段的企业网络。 ## 攻击链 | 技术 | 工具 | MITRE ATT&CK | 结果 | |---|---|---|---| | Password Spraying | crackmapexec | T1110.003 | 凭据泄露：john.doe | | AS-REP Roasting | impacket-GetNPUsers | T1558.004 | noauth.user 的 Kerberos Hash | | DCSync | impacket-secretsdump | T1003.006 | 域内所有 NTLM Hash | | Pass-the-Hash | impacket-psexec | T1550.002 | WS01 上的 SYSTEM Shell | ## Wazuh 检测 | 技术 | 检测状态 | 严重性 | 规则 | |---|---|---|---| | Password Spraying | 部分 | Medium (6) | 92652, 60122 | | AS-REP Roasting | 未检测 | Low (5) | 60122 | | DCSync | 部分 | Medium (6) | 92652 | | Pass-the-Hash | 已检测 | Medium (6) | 92652 | AS-REP Roasting 和 DCSync 未使用 Wazuh 默认规则生成特定告警，这表明需要自定义规则来覆盖这些攻击向量。 ## 仓库内容 ``` wazuh-ad-attack-lab/ ├── README.md ├── IR_Report_AD_Attack_Chain.md # Informe completo de respuesta al incidente └── screenshots/ # Capturas del proceso completo ``` ## 事件报告 本仓库包含一份完整的[事件响应报告](IR_Report_AD_Attack_Chain.md)，涵盖： - Wazuh 的安装与配置 - 在每台机器上部署 Agent - 每种技术的详细分析及截图 - Wazuh 中的检测 —— 生成的告警及发现的缺口 - 响应计划、根除建议与改进建议 ## 技术栈 - **虚拟化：** Proxmox VE - **SIEM：** Wazuh 4.11.2 - **攻击工具：** Impacket, crackmapexec - **操作系统：** Windows Server 2022, Windows 10, Kali Linux, Ubuntu Server 22.04 *实验室项目 —— 出于教育和作品集展示目的而构建的受控环境。*

标签：Active Directory, AMSI绕过, AS-REP Roasting, Cloudflare, CrackMapExec, DCSync, Impacket, MITRE ATT&CK, Pass-the-Hash, Password Spraying, Plaso, Proxmox, Terraform 安全, Wazuh, Windows Server, 协议分析, 威胁检测, 安全实验室, 密码喷洒, 库, 应急响应, 攻击链, 数据展示, 权限提升, 横向移动, 红队, 编程规范, 网络安全, 隐私保护