ahanorah04/ad-attack-detection-lab
GitHub: ahanorah04/ad-attack-detection-lab
一个 Active Directory 攻击与检测实验项目,通过复现常见 AD 攻击并编写 Splunk 检测规则,帮助安全团队掌握基于 MITRE ATT&CK 映射的日志检测能力。
Stars: 0 | Forks: 0
# Active Directory 攻击与检测实验室
一个用于执行常见 Active Directory 攻击并编写相应检测规则的家庭实验室项目。目标:将映射到 MITRE ATT&CK 技术的 Splunk SPL 检测用于 Kerberoasting、AS-REP Roasting 和 Pass-the-Hash 攻击,并基于 Windows Security 事件日志进行验证。
## 🚧 状态
最近更新于 2026 年 4 月 26 日
- [x] 项目计划 / 实验室架构
- [x] 已部署 Windows Server 2022 域控制器
- [x] 两台已加域的 Windows 10 终端
- [x] 使用 BadBlood 填充了逼真的用户和组
- [ ] Sysmon + Splunk forwarder 配置
- [ ] Kerberoasting 攻击 + 检测 (T1558.003)
- [ ] AS-REP Roasting 攻击 + 检测 (T1558.004)
- [ ] Pass-the-Hash 攻击 + 检测 (T1550.002)
- [ ] 最终报告
## 架构
## 检测(进行中)
检测规则将在编写和验证后添加到 /detections/ 目录下。每项将包含:
- Splunk SPL 查询
- MITRE ATT&CK 技术映射
- 相关的 Windows Event ID
- Atomic Red Team 验证说明
## 工具
Windows Server 2022 · Sysmon · Splunk · Impacket · Rubeus · BadBlood · MITRE ATT&CK
标签:Active Directory, AD攻击, AMSI绕过, AS-REP Roasting, Atomic Red Team, ATT&CK映射, BadBlood, Cloudflare, Conpot, Impacket, Kerberoasting, MITRE ATT&CK, OPA, Pass-the-Hash, PB级数据处理, PFX证书, Plaso, Rubeus, SCADA, Sigma规则, Sysmon, Windows Server 2022, Windows安全, 凭据访问, 原子红队, 哈希传递, 威胁检测, 安全实验环境, 安全运维, 家庭实验室, 攻击检测, 数据展示, 数据泄露检测, 横向移动, 活动目录, 目标导入, 紫队, 红队, 编程规范, 网络安全, 速率限制处理, 隐私保护, 靶场