Higor1912/TLOA-IR-Cases

# TLOA IR Cases — 事件响应文档 本仓库记录了在 **TLOA Lab (Threat Lab Offensive Architecture)** 内进行的模拟事件响应调查——这是一个用于对手模拟和检测工程的个人 Active Directory 家庭实验室。 每个案例都遵循真实世界的 IR 工作流：对实验室环境执行攻击，Wazuh SIEM 和 Sysmon 捕获相关活动，然后分析师（我）像处理真实事件一样进行响应——对警报进行分类、构建时间线、将 TTPs 映射到 MITRE ATT&CK，并生成正式的 IR 报告。 ## 实验室环境 | 组件 | 详情 | |---|---| | **Domain** | `tloa.local` | | **DC** | Windows Server 2025 — `DC01` | | **目标** | Windows 10 Pro — Sysmon + Wazuh Agent | | **攻击者** | Kali Linux | | **SIEM** | Wazuh 4.7.5 (Ubuntu Server 24.04) | | **Network** | VMware Host-Only — `192.168.204.x` | ## 仓库结构 ``` TLOA-IR-Cases/ ├── README.md ├── case-001/ │ ├── IR-REPORT.md │ └── evidence/ │ ├── wazuh-alert.png │ └── sysmon-event.png ├── case-002/ │ ├── IR-REPORT.md │ └── evidence/ └── case-003/ ├── IR-REPORT.md └── evidence/ ``` ## 案例 | 案例 | TTPs | 战术 | 状态 | |---|---|---|---| | [案例 001](./case-001/IR-REPORT.md) | T1003.001 | Credential Access | 🔵 计划中 | | [案例 002](./case-002/IR-REPORT.md) | T1548.002 + T1053.005 | Privilege Escalation + Persistence | 🔵 计划中 | | [案例 003](./case-003/IR-REPORT.md) | T1046 + T1112 | Discovery + Defense Evasion | 🔵 计划中 | ## IR 工作流 本仓库中的每个案例都遵循相同的结构化工作流，分为四个阶段： ### 阶段 1 — 攻击执行 从 Kali Linux 攻击机对 Windows 10 目标或 DC01 执行攻击，模拟在网络内部活动的威胁行为者。 **在此阶段发生的事情：** - 使用与真实世界威胁行为者相关的工具（Mimikatz、Atomic Red Team、原生 Windows 二进制文件等）执行技术 - 目标不是隐蔽——重点是生成真实的、可观测的遥测数据 - 攻击者终端的屏幕截图被保存为证据 **输出：** 目标主机上由 Sysmon 捕获的原始攻击活动。 ### 阶段 2 — 检测与分类 切换到分析师角色，检查 Wazuh SIEM 仪表板，以识别检测到了什么以及遗漏了什么。 **在此阶段发生的事情：** - 审查由攻击触发的 Wazuh 警报 - 识别触发了哪些 Sysmon 事件 ID（例如，EID 1 表示进程创建，EID 10 表示进程访问，EID 13 表示注册表修改） - 确定警报的严重程度和范围 - 提问：*"如果这是一个真实的环境，SOC 能否捕获到这个？"* **输出：** 包含规则 ID、时间戳和置信度的检测事件列表。 ### 阶段 3 — 调查与时间线 在确定警报后，将进行全面的调查，以准确还原发生的事件及其顺序。 **在此阶段发生的事情：** - 将 Wazuh 警报与原始 Sysmon 日志进行关联 - 使用真实时间戳构建按时间顺序排列的事件时间线 - 识别受影响的主机、账户、进程、注册表键和网络连接 - 将每个观察到的行为映射到 MITRE ATT&CK 技术 - 记录取证工件（文件、进程、注册表修改、网络 IOC） - 识别检测盲点——未生成警报的技术或步骤 **输出：** 完整的时间线 + ATT&CK 映射 + 工件列表。 ### 阶段 4 — 报告与经验教训 完整的 IR 报告以 markdown 格式编写，结构面向专业受众。 **在此阶段发生的事情：** - 编写执行摘要（非技术性） - 使用带证据的屏幕截图记录完整的技术分析 - 明确区分检测到的内容和未检测到的内容 - 定义遏制和根除步骤 - 编写可操作的加固和检测改进建议 - 反思实验室改进（新规则、新工具、覆盖盲点） **输出：** 最终的 `IR-REPORT.md` 与证据屏幕截图一起提交到案例文件夹中。 ## 与其他 TLOA 项目的关系 本仓库是围绕 TLOA 框架构建的更广泛项目组合的一部分： | 仓库 | 描述 | |---|---| | [TLOA Lab](https://github.com/[username]/TLOA) | AD 家庭实验室设置 — 基础设施、配置和初始 TTP 执行 | | **TLOA IR Cases** | 基于 TLOA 攻击场景的事件响应文档 ← 你在这里 | | TLOA Red Team *(计划中)* | 基于实验室发现构建的结构化对手模拟活动 | | [Threat-Intel-Reports](https://github.com/[username]/Threat-Intel-Reports) | 跟踪真实世界威胁行为者的每周 CTI 报告 | | [Bash-Log-Threat-Analyzer](https://github.com/[username]/Bash-Log-Threat-Analyzer) | 用于威胁检测的基于 Bash 的日志分析工具 | ## 展示的技能 - 事件响应工作流（分类 → 调查 → 遏制 → 报告） - SIEM 警报分析 (Wazuh) - 端点遥测分析 (Sysmon) - 从真实观察到的行为映射 MITRE ATT&CK - 检测盲点分析 - 正式的 IR 报告撰写 - Active Directory 攻击面理解 *TLOA — Threat Lab Offensive Architecture 的一部分* *由 Higor Silva 构建 | https://www.linkedin.com/in/higor-silva-sec/ | https://github.com/Higor1912

标签：Active Directory, ATT&CK框架, Home Lab, Plaso, Sysmon, Terraform 安全, TLOA, Wazuh, Windows Server, 内存凭据提取, 协议分析, 安全实验环境, 安全报告, 安全运营, 库, 应急响应, 扫描框架, 插件系统, 攻击溯源, 权限提升, 网络安全, 虚拟化安全, 防御加固, 防御逃避, 隐私保护