oktenmuhammet/enterprise-security-lab

# 企业安全实验室（面向 PCI DSS） 本项目是一个自建的企业级网络安全实验室，旨在模拟真实的 PCI DSS 环境。 目标不仅是构建系统，更是要像真正的安全运营中心 (SOC) 那样进行设计、安全防护、监控和威胁检测。 ## 🔐 架构概述 实验室被划分为多个安全区域： - **内部区域** → Active Directory、用户计算机 - **DMZ 区域** → Wazuh、Web 服务器、LDAP、跳板机、Vault - **CDE 区域 (持卡人数据环境)** → 应用服务器、数据库 - **攻击区域** → Kali Linux、Metasploitable - **备份区域** → 备份服务器 所有流量均通过 **pfSense 防火墙** 进行控制，并采用默认拒绝策略。 ## 🧰 使用的技术 - SIEM：Wazuh - 防火墙：pfSense - IDS/IPS：Suricata - WAF：ModSecurity (Nginx) - 身份验证：Active Directory、LDAP - Secrets 管理：HashiCorp Vault - 漏洞扫描：Nessus - 监控：Zabbix - 防病毒：ClamAV / Windows Defender - 网络时间：Chrony (NTP) ## 🧠 核心功能 - 网络分段（内部 / DMZ / CDE / 攻击 / 备份） - 集中式日志记录与 SIEM 监控 - 文件完整性监控 (FIM) - 主动响应（自动拦截） - 暴力破解检测 - 权限提升监控 - LDAP 与 Active Directory 集成 - 使用 Vault 进行安全的 secret 管理 - WAF 防御 Web 攻击 - 恶意软件检测 (ClamAV) - 符合 PCI DSS 的日志保留策略 ## 💳 支付应用安全 实现了一个模拟的支付系统： - Web 服务器 (Nginx + 反向代理 + WAF) - 后端应用程序 (Python) - 数据库 (MariaDB) 安全控制措施： - **绝不存储** CVV - PAN（主账号）进行**部分掩码处理** - 敏感数据**通过 HashiCorp Vault 进行加密** - 无硬编码凭证（使用 AppRole 身份验证） ## 🔍 威胁检测（SOC 视角） 使用 Wazuh 进行集中监控和检测： - 身份验证日志 - 文件更改 (FIM) - 暴力破解攻击 - 可疑命令执行 - LDAP 活动 - 与恶意软件相关的文件事件 编写了自定义规则以提高检测准确性。 ## 💣 攻击模拟 从攻击区域模拟了以下攻击： - 暴力破解攻击 (Hydra) - 可疑文件执行 - 未经授权的访问尝试 所有活动均通过 SIEM 进行了监控和检测。 ## 📊 漏洞管理 - 对实验室系统执行了 Nessus 扫描 - 识别出高危和严重漏洞 - 应用了修复措施并进行了重新测试 ## 📸 截图与图表 - 网络拓扑 → `/diagrams` - 数据流图 → `/diagrams` - Wazuh 警报 → `/screenshots` - 仪表板视图 → `/screenshots` ## 🧱 安全方法 本实验室采用分层安全模型： - 网络分段 - 最小权限访问 - 监控与告警 - 检测与响应 - 安全的数据处理 ## 🎯 目标 本实验室旨在： - 模拟真实的企业环境 - 了解如何检测攻击 - 培养实战 SOC 与安全工程技能 ## 🧠 核心要点 构建系统很容易。 保护并监控它才是真正的挑战。 ## ⚠️ 免责声明 本项目仅供教育目的创建。

标签：Active Directory, AMSI绕过, AppImage, AppRole, CDE, Checkov, Chrony, CISA项目, ClamAV, CSV导出, CVV, HashiCorp Vault, IPS, IP 地址批量处理, LDAP, MariaDB, Metaprompt, Metasploitable, ModSecurity, Nessus, Nginx, NTP, PAN掩码, PCI DSS, PCI合规, pfSense, Plaso, Python, Suricata, Terraform 安全, WAF, Wazuh, Web 安全测试, Web应用防火墙, x64dbg, Zabbix, 主动响应, 企业安全实验室, 企业架构, 免杀技术, 入侵检测与防御, 反向代理, 威胁检测, 威胁检测与响应, 子域名变形, 安全信息与事件管理, 安全区域, 安全运营中心, 持卡人数据环境, 搜索引擎爬取, 支付卡行业数据安全标准, 支付安全, 攻击模拟, 数据加密, 数据展示, 数据脱敏, 无后门, 日志保留, 时间同步, 暴力破解检测, 权限提升监控, 活动目录, 现代安全运营, 红队, 红队行动, 网络分段, 网络安全实验室, 网络映射, 自定义DNS解析器, 逆向工具, 速率限制, 防火墙, 防病毒, 集中式日志, 驱动签名利用, 默认拒绝