nehoraim1234-dotcom/Enterprise-Network-Security-SOC-Lab

# Enterprise-Network-Security-SOC-Lab 一个全面的网络安全实验室，涵盖网络分段、AD加固和SIEM检测工程。 ## 第一阶段：基础设施与安全架构 ### 目标 任何有弹性的环境的起点都在于网络层。本阶段的首要目标是打破传统的“扁平网络”模型，建立严格的**零信任**架构。通过逻辑上隔离关键基础设施与标准用户终端点，使所有网络流量必须经过集中式检查与路由平面，从而在边界上有效中和初始访问和横向移动尝试。 ### 关键实施 * **网络分段与流量检查：** 构建了一个多宿主路由架构，以 pfSense 防火墙作为核心网关。环境被划分为三个独立的区域以强制执行严格的信任边界： * **WAN：** 受控的外部连接，具备针对 Bogon 与 RFC 1918（私有）IP 欺骗攻击的边界加固。 * **服务器区域（Tier 0）：** 隔离子网（`192.168.10.0/24`），专用于 Active Directory 域控制器与关键基础设施。 * **用户区域（Tier 2）：** 隔离子网（`192.168.20.0/24`），承载标准员工工作站。 * **正向安全模型（身份保护）：** 在身份基础设施周围部署默认拒绝策略。来自用户区域到域控制器的网络流量仅明确允许必要协议（DNS、Kerberos、LDAP）。管理与远程执行端口（例如 RDP、WinRM）被永久丢弃，以切断传统的横向移动路径。 * **动态威胁情报集成：** 将防火墙从静态规则集转变为活跃防御机制。通过集成自动化实时威胁源（如 Abuse.ch 与 Emerging Threats），网关能够自主识别并丢弃发往已知命令与控制（C2）服务器的出站流量，在数据外泄发生前打断网络杀伤链。 * **身份与访问管理（IAM）自动化：** 开发了一个基于 PowerShell 的配置流程，该流程解析 HR 提供的 CSV 文件以自动创建并分配 Active Directory 账户。此逻辑消除了人为误配置，防止权限蔓延，并确保账户被精确放置在已授权的 OU 与安全组中。 ## 第二阶段：AD加固与GPO架构 ### 目标 在建立安全的网络基础之后，第二阶段聚焦于加固身份边界。目标是将 Active Directory 环境转变为一个加固的“堡垒域”，通过分层管理模型系统性地消除最常见的内部攻击向量——如凭证转储、横向移动与协议滥用——通过精细化且自动化的组策略（GPO）架构。 ### 关键实施 * **分层GPO与OU设计：** 建立严格分隔的组织单位（OU）结构，以强制执行**最小权限原则（PoLP）**。通过将管理账户（Tier 0）、技术员工（IT）与标准用户（HR）分离到不同的 OU 中，我应用了量身定制的安全基线，在最大化安全性与保持业务连续性之间取得平衡。 * **Tier 0横向移动防护：** 构建了一个全面的“管理边界”以保护高权限凭证。实施了明确的“用户权限分配”策略，从结构上阻止域管理员在所有五种登录类型（本地、网络、RDP、批处理与服务）上对 Tier 2 工作站进行身份验证。此架构约束确保即使工作站被妥协，攻击者也无法收割 Tier 0 凭证。 * **内核级应用程序控制（AppLocker）：** 超越基础UI限制，在OS内核层面实施**AppLocker**。利用加密的**发布者**条件，系统验证二进制文件的数字签名而非易被伪造的文件名。这确保了如 `CMD.EXE` 与 `PowerShell` 等关键工具被明确拒绝给非授权用户，无论文件位置或重命名尝试如何。 * **通过LAPS与账户混淆进行凭证保护：** 部署了**微软本地管理员密码解决方案（LAPS）**，以自动化轮换所有端点上内置SID-500账户的唯一、高复杂度密码。为进一步阻止自动化枚举与暴力破解脚本，默认管理员账户被重命名为 `emergencyIT`，以降低SOC告警疲劳并增加攻击者挫败感。 * **遗留协议清除与加密完整性：** 系统性地停用高风险遗留协议以保护内部传输层： * **NTLM清除：** 禁用 NTLM，强制采用严格的 Kerberos 身份验证，中和 NTLM 中继与传递哈希攻击。 * **网络中毒缓解：** 禁用 LLMNR 与 NetBIOS over TCP/IP，防止通过网络中毒工具（如 Responder）进行凭证窃取。 * **SMB加固：** 完全禁用易受攻击的 SMBv1 协议并强制实施**SMB签名**，为所有网络通信建立双向加密完整性。 * **取证准备与端点遥测：** 通过启用高级审计，将每个域资产转变为活跃的安全传感器。这包括启用**进程创建**审计并记录完整**命令行**，为SIEM提供检测混淆脚本与“living-off-the-land”（LotL）战术所需的高保真遥测数据。 ## 第三阶段：检测工程与SIEM架构 ### 目标 最终阶段聚焦于将环境从静态防御转向主动监控。[cite_start]通过部署集中式 Splunk Enterprise SIEM，我建立了一个可扩展的遥测管道，用于聚合分布式资产的日志，实现结构化的威胁检测与事件准备[cite: 174, 177]。 ### 关键实施 * **遥测管道与数据摄取：** [cite_start]构建了一个面向关键基础设施组件的集中式摄取架构。[cite_start]轻量级 Splunk Universal Forwarder 被部署到 Windows 资产，通过 9997 端口的加密 TCP 套接字流式传输安全、系统与应用事件通道。[cite: 183, 184] [cite_start]同时，pfSense 网关被集成以通过 514 端口的 UDP 转发原生 Syslog 遥测，提供对防火墙阻断与网络层异常的可见性[cite: 185, 186]。 * **检测逻辑与告警优化：** 使用 Splunk 搜索处理语言（SPL）开发针对性检测管道，在降低误报的同时识别高风险行为。通过利用多值索引（`mvindex`）等高级功能，系统能够准确解析复杂事件结构（例如事件 ID 4720/4732），以在潜在权限提升或持久化尝试期间映射行为者与目标之间的关系[cite: 250, 251, 253]。 * **模块化威胁情报框架：** 构建了一个可扩展的检测引擎，利用集中式查找表（`Domain_Threat_Intel_Masterlist.csv`）[cite: 262, 263]。此方法摒弃硬编码搜索字符串，转而采用动态正则表达式引擎，对进程命令行参数与已知对手工具模式（例如 Mimikatz、BloodHound）进行匹配。此模块化设计提升了覆盖范围，并使 SOC 能够即时更新威胁签名而无需修改底层检测代码[cite: 272, 273]。

标签：Active Directory, AD加固, AI合规, Bogon, DNS, IP欺骗防护, JSONLines, LDAP, pfSense, Plaso, RDP, RFC1918, Terraform 安全, WinRM, 企业安全, 动态防护, 协议过滤, 多宿主路由, 威胁情报, 安全架构, 实验室, 开发者工具, 正向安全模型, 流量检查, 网络分段, 网络安全, 网络资产管理, 身份保护, 防火墙, 隐私保护, 隔离子网, 零信任, 默认拒绝