Active Directory 安全实验室

## 为什么开展这个项目 许多 Active Directory 家庭实验室主要侧重于管理任务，例如创建用户、配置 Group Policy 或管理权限。 这个项目采取了不同的方法。 该环境旨在生成真实的 Windows 安全遥测数据，以支持使用 Splunk Enterprise 进行检测工程、安全监控和事件调查。实验室内实施的每项配置更改、身份验证事件和安全控制，都为整个 GitHub 作品集中记录的其他安全工程项目奠定了基础。 ## 概述 本项目记录了 Windows Active Directory 环境的设计、实施和持续开发过程，该环境旨在模拟企业身份基础设施和安全运营。该实验室是使用 Splunk Enterprise 进行安全监控、检测工程和调查项目的基础。 该环境并非仅仅关注 Active Directory 管理，而是旨在生成可在 SIEM 中收集、分析和调查的真实 Windows 安全遥测数据。随着额外的安全控制和检测的实施，本仓库记录了支持这些项目的底层基础设施。 ## 目标 - 设计企业级 Active Directory 环境。 - 根据业务功能实施 Organizational Units (OUs) 和安全组。 - 配置 Group Policy 以强制执行安全设置。 - 模拟身份生命周期操作，包括用户配置、组管理、身份验证和账户锁定。 - 将 Windows 安全日志转发到 Splunk Enterprise，用于监控和检测工程。 - 记录整个构建过程中的工程决策、故障排除和经验教训。 ## 环境 | 组件 | 技术 | |-----------|------------| | Domain Controller | Windows Server | | Endpoint | Windows 10 | | SIEM | Splunk Enterprise | | Attacker VM | Kali Linux | | Hypervisor | VirtualBox | ## 当前功能 - Active Directory 域服务 - Organizational Unit 结构 - 安全组实施 - 基于角色的访问控制 (RBAC) - 共享文件夹权限 - Windows 安全事件转发 - Sysmon 遥测数据收集 - 账户锁定策略实施 - Splunk 集成 ## 未来增强计划 - 额外的 Group Policy 安全控制 - Windows Defender 日志记录 - PowerShell 日志记录 - 集中式仪表板展示 - 威胁狩猎场景 - 检测工程集成 ## 项目状态 ### 已完成 - Active Directory 部署 - Organizational Unit 设计 - 基于角色的访问控制 (RBAC) - Windows 安全日志转发 - Splunk Enterprise 集成 - Sysmon 部署 - 账户锁定策略实施 ### 进行中 - 身份验证检测工程 - Splunk 仪表板 - 安全事件文档记录 ### 计划中 - 进程监控 - 威胁狩猎场景 - 检测调优 - 安全调查 - 相关项目 - [Splunk 检测工程](https://github.com/CharlieWhiskeySec/splunk-detections) - [SOC 调查](https://github.com/CharlieWhiskeySec/soc-investigations) - [流量分析](https://github.com/CharlieWhiskeySec/traffic-analysis)

标签：Active Directory, Plaso, 安全实验环境