nehorai-malka1/Enterprise-Network-Security-SOC-Lab

# 企业网络安全 SOC 实验室 一个综合性的网络安全实验室，具备网络分段、AD 加固以及 SIEM 检测工程功能。 ## 第一阶段：基础设施与安全架构 ### 目标 任何弹性环境的基础都始于网络层。本阶段的主要目标是打破传统的“扁平网络”模型，并建立严格的 **Zero Trust** 架构。通过将关键基础设施与标准用户终端进行逻辑隔离，该环境强制所有网络流量经过集中式的检查和路由层，从而在边界处有效遏制初始访问和横向移动的企图。 ### 关键实现 * **网络分段与流量检查：** 利用 pfSense 防火墙作为核心网关，设计了一个多宿主路由架构。该环境被划分为三个不同的区域，以强制执行严格的信任边界： * **WAN：** 受控的外部连接，具有针对 Bogon 和 RFC 1918（私有）IP 欺骗攻击的边界加固功能。 * **服务器区（Tier 0）：** 专门用于 Active Directory 域控制器和关键基础设施的隔离子网（`192.168.10.0/24`）。 * **用户区（Tier 2）：** 托管标准员工工作站的隔离子网（`192.168.20.0/24`）。 * **积极安全模型（身份保护）：** 围绕身份基础设施部署了“默认拒绝”姿态。从用户区到域控制器的网络流量仅针对基本协议（DNS、Kerberos、LDAP）进行了显式白名单放行。管理和远程执行端口（例如 RDP、WinRM）被永久丢弃，以切断传统的横向移动路径。 * **动态威胁情报集成：** 将防火墙从静态规则集转变为主动防御机制。通过集成自动化、实时的威胁源（如 Abuse.ch 和 Emerging Threats），网关能够自主识别并丢弃发往已知命令与控制 (C2) 服务器的出站流量，在数据窃取发生之前打破网络杀伤链。 * **身份与访问管理 (IAM) 自动化：** 开发了一个 PowerShell 驱动的配置管道，用于解析 HR 提供的 CSV 文件，以自动构建并分配 Active Directory 账户。此逻辑消除了人为的错误配置，防止了权限蔓延，并确保将账户精确放置到经授权的组织单位和安全组中。 ## 第二阶段：Active Directory 加固与 GPO 架构 ### 目标 在安全的网络基础到位后，第二阶段重点加固身份边界。目标是实现分层管理模型，将 Active Directory 环境转变为一个加固的“堡垒域”。此阶段通过精细且自动化的组策略 (GPO) 架构，系统地消除了最常见的内部攻击向量——例如凭据转储、横向移动和协议利用。 ### 关键实现 * **分层 GPO 与 OU 设计：** 建立了严格隔离的组织单位 (OU) 结构，以强制执行 **最小权限原则**。通过将管理员账户 (Tier 0)、技术人员 (IT) 和标准用户 (HR) 分离到不同的 OU 中，我应用了量身定制的安全基线，在最大程度保障安全的同时兼顾了业务连续性。 * **Tier 0 横向移动防御：** 设计了一个全面的“管理边界”来保护高权限凭据。我实施了明确的 `User Rights Assignment` 策略，在结构上阻止了 Domain Admins 跨所有五种登录类型（本地、网络、RDP、批处理和服务）向 Tier 2 工作站进行身份验证。这种架构约束确保了即使工作站遭到破坏，对手也无法获取 Tier 0 凭据。 * **内核级应用程序控制 (AppLocker)：** 超越了基本的 UI 限制，在 OS 内核级别实现了 **AppLocker**。利用加密的 **Publisher** 条件，系统会验证二进制文件的数字签名，而不是轻易伪造的文件名。这确保了 `CMD.EXE` 和 `PowerShell` 等关键工具对未授权用户绝对拒绝，无论文件位于何处或是否尝试重命名。 * **通过 LAPS 与账户混淆进行凭据保护：** 部署了 **Microsoft Local Administrator Password Solution (LAPS)**，以自动轮换所有端点上内置 SID-500 账户的唯一、高复杂度密码。为了进一步阻止自动化枚举和暴力破解脚本，默认管理员账户被重命名为 `emergencyIT`，从而减少了 SOC 的告警疲劳并增加了攻击者的挫败感。 * **遗留协议根除与加密完整性：** 系统性地淘汰了高风险的遗留协议，以保护内部传输层： * **NTLM 根除：** 禁用 NTLM 以强制严格使用 Kerberos 驱动的身份验证，从而中和 NTLM Relay 和 Pass-the-Hash 攻击。 * **网络投毒缓解：** 禁用 LLMNR 和 NetBIOS over TCP/IP，以防止通过 Responder 等网络投毒工具窃取凭据。 * **SMB 加固：** 完全禁用存在漏洞的 SMBv1 协议，并强制启用 **SMB Signing**，为所有网络通信建立双向加密完整性。 * **取证准备与端点遥测：** 通过启用高级审计，将每个域资产转变为主动安全传感器。这包括带有完整 **Command-Line logging** 的 **Audit Process Creation**，为 SIEM 提供检测混淆脚本和就地取材 战术所需的高保真遥测数据。 ## 第三阶段：检测工程与 SIEM 架构 ### 目标 最后阶段侧重于通过从静态防御过渡到主动监控来实现环境的运营化。[cite_start]通过部署集中式的 Splunk Enterprise SIEM，我建立了一个可扩展的遥测管道，用于聚合来自分布式资产的日志，从而实现结构化的威胁检测和事件响应方法[cite: 174, 177]。 ### 关键实现 * **遥测管道与数据摄取：** [cite_start]设计了一个集中式摄取架构，旨在实现关键基础设施组件的广泛可见性。[cite_start]轻量级 Splunk Universal Forwarder 被部署到 Windows 资产，以通过加密的 TCP 套接字在端口 9997 上流式传输 Security、System 和 Application 事件通道[cite: 183, 184]。[cite_start]同时，pfSense 网关被集成以通过 UDP 端口 514 转发原生的 Syslog 遥测数据，为防火墙拦截和网络层异常提供了关键的可见性[cite: 185, 186]。 * **检测逻辑与告警优化：** 使用 Splunk Search Processing Language (SPL) 开发了针对性的检测管道，以识别高风险行为，同时通过关联和特定字段过滤减少误报[cite: 189, 236]。通过利用 `mvindex` 等高级函数，系统能够准确解析复杂的事件结构（例如，Event ID 4720/4732），从而在潜在的权限提升或持久化尝试期间映射参与者与目标之间的关系[cite: 250, 251, 253]。 * **模块化威胁情报框架：** 利用集中式查找表（`Domain_Threat_Intel_Masterlist.csv`）构建了一个可扩展的检测引擎[cite: 262, 263]。这种方法摆脱了硬编码的搜索字符串，转而使用动态正则表达式引擎将进程命令行参数与已知的对手工具模式（例如，Mimikatz、BloodHound）进行匹配[cite: 265, 278, 282]。这种模块化设计提高了覆盖率，并允许 SOC 立即更新威胁签名，而无需修改底层的检测代码[cite: 272, 273]。

标签：AD安全, AI合规, HTTP, Libemu, Modbus, PB级数据处理, PE 加载器, pfSense, SOC实验室, Terraform 安全, 企业安全, 企业网络架构, 域控制器安全, 威胁情报, 安全运维, 安全运营中心, 开发者工具, 插件系统, 模拟器, 横向移动防御, 活动目录加固, 流量检测, 积极安全模型, 网络分段, 网络安全, 网络安全实验室, 网络安全防御, 网络映射, 网络资产管理, 网络隔离, 蜜罐与检测, 防火墙, 隐私保护, 零信任架构