eespence/FAIRMOUNT-MANUFACTURING-IAM-OPERATIONS

```markdown         # fairmount-manufacturing-iam-operations **作者：** Edward E. Spence **组织：** Fairmount Manufacturing LLC **实验室环境：** IAMPAM.LAB **状态：** 🟢 活跃 — 实验室进行中 ## ⚠️ 模拟通知 本仓库中的所有实验室均模拟企业身份与访问管理（IAM）及特权访问管理（PAM）工作流程。所有用户、票证和组织数据均为虚构，仅用于演示目的。用于执行这些工作流程的基础设施是真实且在 IAMPAM.LAB 环境中完全可操作的。 ## 🎯 关于本仓库 本仓库记录了基于一个完全可操作的企业实验室环境的 IAM/PAM 工程实践。每个实验室模拟了 IAM/PAM 工程师在生产环境中可能遇到的真实场景——从身份生命周期管理到安全事件响应。 这不是一份认证学习指南。每个实验室均在真实基础设施上执行，并通过截图、审计日志和记录结果进行端到端验证。 除了实验室文档，本仓库还包含一个独立的自动化脚本库，这些脚本从实验室工作流中提取并优化，可重复使用。这些脚本是生产就绪的模板，适用于批量配置、单用户修复和完整回滚操作——证明实验室中的工程工作可以直接转化为可重复使用的运维工具。 ## 🏗️ 实验室环境 — IAMPAM.LAB **域：** IAMPAM.LAB **网络：** 172.31.100.0/24 **Entra 租户：** FairmountManufacturing.onmicrosoft.com **合规上下文：** CMMC Level 2 | 系统 | 角色 | IP | |---|---|---| | DC01 | 域控制器 | 172.31.100.10 | | MGMT01 | PAW / 管理工作站 | 172.31.100.20 | | ID-SYNC01 | Entra Connect 同步 | 172.31.100.25 | | SIEM01 | Splunk 企业版 | 172.31.100.60 | | PAMVAULT01 | HashiCorp Vault | 172.31.100.70 | | DELINEA01 | Delinea Secret Server | 172.31.100.80 | | RHEL01 | 特权 Linux 服务器 | 172.31.100.90 | ## 🔐 特权账户架构 本环境中的特权层级账户被有意排除在 Microsoft Entra ID 同步之外。这是与 Microsoft 企业访问模型一致的 deliberate 安全架构决策： - **Tier 0** (`adm-t0-*`) — 域和身份平面管理员。仅限本地 AD，永不同步至 Entra ID。 - **Tier 1** (`adm-t1-*`) — 服务器和工作负载管理员。仅限本地 AD，永不同步至 Entra ID。 - **Tier 2** (`adm-t2-*`) — 工作站管理员。仅限本地 AD，永不同步至 Entra ID。 标准用户身份（`fm.*`）通过 `AAD-Sync-Users` 作用域组同步到 Entra ID，并受云身份治理、SAML 联合和基于 Entra 的访问控制约束。 ## 🛠️ 技术栈 | 工具 | 用途 | |---|---| | Active Directory | 身份创建、基于组的访问控制、层级强制执行 | | Microsoft Entra ID | 云身份同步、SAML 联合、登录治理 | | HashiCorp Vault | 密钥存储、LDAP 集成、基于策略的访问控制 | | Delinea Secret Server | 特权保险库、基于文件夹的 RBAC、特权凭证治理 | | Splunk Enterprise | SIEM — 审计日志、事件调查、威胁检测 | | AWS SAML | 特权身份组联邦云访问 | | PowerShell | 自动化 — 批量配置、包含、回滚 | | Group Policy | 层级隔离强制执行、登录限制 | ## ⚙️ 自动化库 `automation/` 文件夹包含从实验室工作流中提取并精炼的独立可重用 PowerShell 脚本。这些脚本是生产就绪的操作模板，可适配真实企业环境。 | 脚本 | 用途 | |---|---| | `fm-bulk-user-provisioning.ps1` | 带错误处理、组分配、AAD-Sync-Users 作用域和 CSV 审计导出的批量 AD 用户创建 | | `fm-bulk-user-rollback.ps1` | 完整批量回滚 — 从 AD 组、AAD-Sync-Users 移除所有配置用户并删除账户，触发 Entra 增量同步 | | `fm-single-user-provision.ps1` | 单用户配置模板，带目标组分配和同步作用域 | | `fm-single-user-remediate.ps1` | 单用户修复 — 目标组移除、账户禁用或删除，并触发 Entra 同步 | 👉 [查看自动化脚本](automation/) ## 📁 仓库索引 ### ✅ 实验 01 — 员工入职（JOINER 阶段） **工单：** REQ0042001 | **状态：** ✅ 已完成 为工程、财务和 IT/Security 部门配置 10 名新的 Fairmount Manufacturing 员工。涵盖完整身份生命周期，从 AD 账户创建到 Entra ID 同步、保险库密钥访问、Delinea 特权治理、最小权限验证、Splunk 审计确认以及 AWS SAML 联合。 **展示的关键技能：** - 使用 PowerShell 进行批量 AD 配置并具备错误处理能力 - AAD-Sync-Users 作用域控制以管理 Entra ID - Vault LDAP 集成与 RBAC 策略映射 - 基于文件夹的 Delinea 密钥治理 - 使用 rex 字段提取进行 Splunk SIEM 审计验证 - AWS SAML 联合访问验证 👉 [查看实验 01 README](lab-01-onboarding/README.md) ### ✅ 实验 02 — 事件响应：异常管理员行为 **工单：** INC0043102 | **状态：** ✅ 已完成 检测、调查、遏制并验证可疑特权账户活动事件。`adm-t1-serveradmin` 表现出异常登录行为，包括来自 CLIENT01 的未经授权的身份验证尝试和权限提升。完整的事件响应生命周期在 Splunk SIEM、Active Directory 和 PowerShell IAM 控制下执行。 **展示的关键技能：** - 基于 SIEM 的威胁检测，使用 Windows 事件 ID 4624、4625、4672 - 攻击源识别与调查 - IAM 遏制 — 账户禁用、组移除、凭据重置 - 通过 Splunk 进行遏制后验证 - MITRE ATT&CK 对应 — T1078、T1550、T1021 - 紧急突破 GPO 场景文档 👉 [查看实验 02 README](lab-02-incident-response/README.md) ## 🛡️ CMMC Level 2 覆盖 | 实践 | 控制 | 实验室 | |---|---|---| | AC.1.001 | 限制系统访问至授权用户 | 实验 01 — 基于 AD 组的访问控制 | | AC.2.006 | 使用非特权账户 | 实验 01 — 标准 FM 用户无管理员权限 | | AC.2.007 | 限制特权账户使用 | 实验 01 & 02 — 仅限 IT-Admins，adm-t1 受控 | | IA.3.083 | 使用多因素认证 | 实验 01 — Entra ID 身份平面与联合控制 | | AU.2.041 | 审计用户管理操作 | 实验 01 & 02 — Splunk 事件 ID 可见性 | | AU.2.042 | 审查与分析审计日志 | 实验 02 — SPL 调查查询 | | IR.2.092 | 建立事件处理能力 | 实验 02 — 完整事件响应生命周期 | | IR.2.093 | 跟踪并记录事件 | 实验 02 — INC0043102 完整审计追踪 | | CM.2.061 | 建立基线配置 | 实验 01 — 保险库策略与 Delinea RBAC | ## 🗂️ 仓库结构 ``` fairmount-manufacturing-iam-operations/ ├── README.md ← You are here ├── automation/ ← Reusable PowerShell scripts │ ├── fm-bulk-user-provisioning.ps1 │ ├── fm-bulk-user-rollback.ps1 │ ├── fm-single-user-provision.ps1 │ └── fm-single-user-remediate.ps1 ├── lab-01-onboarding/ │ ├── README.md │ ├── lab-01-employee-onboarding.md │ └── screenshots/ │ ├── lab01_01_bulk_user_provisioning_success.png │ ├── lab01_02_entra_delta_sync.png │ ├── lab01_03_entra_users_synced.png │ ├── lab01_04_vault_ldap_configured.png │ ├── lab01_05_vault_ldap_configured_settings.png │ ├── lab01_06_vault_policies_created.png │ ├── lab01_07_vault_group_mapping.png │ ├── lab01_08_vault_secrets_created.png │ ├── lab01_09_vault_secret_read.png │ ├── lab01_10_ssh_denied.png │ ├── lab01_11_vault_access_denied.png │ ├── lab01_12_delinea_folders.png │ ├── lab01_13A_engineering_folder_svc.eng.fairmount.png │ ├── lab01_13B_finance_folder_svc.fin.fairmount.png │ ├── lab01_13C_it_security_folder_svc.it.fairmount.png │ ├── lab01_14A_engineering_permissions.png │ ├── lab01_14B_finance_permissions.png │ ├── lab01_14C_it_security_permissions.png │ ├── lab01_15_splunk_user_creation.png │ ├── lab01_16_splunk_group_membership.png │ ├── lab01_17_entra_signin_fm.seren.holwick.png │ └── lab01_18_aws_saml_fm.seren.holwick.png ├── lab-02-incident-response/ │ ├── README.md │ ├── lab-02-incident-response.md │ └── screenshots/ │ ├── lab02_01_suspicious_logins.png │ ├── lab02_02_login_source.png │ ├── lab02_03_privilege_escalation.png │ ├── lab02_04_account_disabled.png │ ├── lab02_05_group_removal.png │ ├── lab02_06_password_reset.png │ └── lab02_07_post_containment.png ``` ## 🔮 下一步计划 | 实验 | 场景 | 状态 | |---|---|---| | 实验 03 | 访问评审与认证 | 🔄 开发中 | | 实验 04 | 特权账户生命周期 — MOVER 阶段 | 🔄 开发中 | | 实验 05 | 离职人员 — 账户离岗与取消配置 | 🔄 开发中 | **E.E. Spence — 身份工程 | IAMPAM.LAB** ```

标签：Active Directory, AI合规, AWS SAML 联合, CMMC, Delinea Secret Server, FTP漏洞扫描, HashiCorp Vault, IAM, IAMPAM, Libemu, Microsoft Entra ID, PAM, Plaso, PowerShell 自动化, Terraform 安全, 企业安全, 安全编排, 实验室环境, 审计日志, 漏洞利用检测, 特权访问管理, 网络资产管理, 身份安全, 身份治理, 身份生命周期管理