ajx17/agentic-splunk-hunting-lab
GitHub: ajx17/agentic-splunk-hunting-lab
基于 Proxmox 的威胁狩猎家庭实验室,集成 Splunk SIEM、Active Directory 攻击模拟与 AI 编排器,用于自动化安全检测与分析能力的构建与验证。
Stars: 0 | Forks: 0
# Agentic-Threat-Hunting-Lab | Splunk & SOAR
## 项目概述
在 Proxmox 虚拟机监控程序内设计并部署了一个隔离的威胁狩猎实验室,该实验室集成了自定义 AI 编排器 (OpenClaw) 用于带外管理。使用 Kali Linux (NetExec) 模拟了针对现代 Active Directory 的 SMB 暴力破解攻击,并在自建的 Splunk Enterprise SIEM 中成功捕获、路由并可视化了攻击遥测数据,该 SIEM 部署在我的家庭实验室服务器上以确保访问始终可用。
## 架构
```
graph TD
classDef attacker fill:#ff4d4d,stroke:#333,stroke-width:2px,color:#fff;
classDef target fill:#005ce6,stroke:#333,stroke-width:2px,color:#fff;
classDef brain fill:#00b33c,stroke:#333,stroke-width:2px,color:#fff;
classDef ai fill:#9900cc,stroke:#333,stroke-width:2px,color:#fff;
subgraph The Attack Vector
K[Kali Linux]:::attacker -- "NetExec Brute Force (SMB Port 445)" --> W[Windows Server]:::target
end
subgraph The Telemetry Pipeline
W -- "Universal Forwarder (TCP Port 9997)" --> U[Ubuntu: Splunk Indexer]:::brain
U -- "Port 8000 (Web UI)" --> M[Dashboard]
end
subgraph AI Orchestration
T[Telegram] -- "Natural Language" --> P[Prox AI Agent]:::ai
P -- "WinRM Bridge (PowerShell)" --> W
end
```
## 方法论
配置了一个 Ubuntu 虚拟机,使用专用的 splunk 服务账户绕过了 root 执行,并部署了 Splunk Enterprise。
我在目标 Windows Server 上安装了 Splunk Universal Forwarder,以抓取本地的事件查看器日志
随后,我利用了 "Prox"(一个通过 Telegram 桥接的自定义 AI 代理),通过 WinRM 执行带外管理
- 启动了一个 Kali Linux 节点,并利用 NetExec (CrackMapExec) 对 Windows Server 的 SMB 端口发起了一轮极速字典攻击
## 挑战与解决方案
- 静默传感器问题:Universal Forwarder 成功完成了 TCP 握手,但没有数据路由到 Splunk。Prox 诊断出 GUI 安装程序未能写入本地输入配置。我命令 Prox 注入一个 PowerShell 脚本,硬编码 inputs.conf 文件以读取 Security、System 和 Application 日志,从而立即修复了数据流
- 过时的攻击工具:最初使用 Hydra 进行的攻击未能生成日志,因为现代 Windows Server 会主动丢弃过时的 SMB 协议握手。随后转向使用 NetExec,这是一种能够使用原生 SMB 通信的现代后渗透工具,成功迫使 Windows Server 记录了事件 ID 4625 身份验证失败日志
- 数据标准化:在搜索标准字段(如 src_ip)时,Splunk 返回了 NULL。通过调整 SPL 查询以定位原始的 Microsoft 字段(Source_Network_Address 和 Account_Name)来绕过 CIM 限制,从而正确渲染了可视化图表。
标签:Active Directory, AD攻击, AI代理, AI合规, CrackMapExec, DevSecOps, DLL 劫持, IPv6, Libemu, NetExec, OPA, OpenCanary, OpenClaw, Plaso, PoC, PowerShell, Proxmox, SMB爆破, SOAR, Terraform 安全, Windows Server, WinRM, 上游代理, 大语言模型, 安全信息与事件管理, 安全运营, 家庭实验室, 扫描框架, 搜索引擎爬取, 攻击模拟, 数据展示, 日志可视化, 暴力破解, 红队, 自动化管理, 虚拟化, 遥测数据, 靶场, 驱动签名利用