avdyuvaraj/SOCForge-Red-vs-Blue-AD-SIEM-Lab

# SOCForge: 红蓝对抗 AD-SIEM 实验室 ## 概述 SOCForge 是一个以安全运营中心 (SOC) 为重点的网络安全实验室环境，旨在使用 Active Directory 和 Wazuh SIEM 模拟真实的企业安全监控和攻击检测场景。 该项目重点关注 Active Directory 基础设施内的蓝队监控、红队攻击模拟、威胁检测、自定义规则创建、事件分析和事件监控。 开发此实验室旨在获得安全运营中心 (SOC) 工作流的实践经验，并了解 SIEM 解决方案如何帮助组织实时检测和响应网络安全威胁。 ## 目标 - 构建安全的 Active Directory 实验室环境 - 使用 Wazuh SIEM 配置集中式日志监控 - 模拟暴破和基于认证的攻击 - 通过事件日志检测恶意活动 - 创建并测试自定义 SIEM 检测规则 - 执行红队和蓝队安全分析 - 了解 SOC 工作流和事件监控流程 ## 使用的技术 | 技术 | 用途 | |------------|---------| | Wazuh SIEM | 安全监控和事件关联 | | Active Directory | 身份和访问管理 | | Windows Server | 域控环境 | | Ubuntu Server | Wazuh Manager 安装 | | Windows 11 | Wazuh Dashboard 访问 | | Sysmon | 高级 Windows 事件日志记录 | | Atomic Red Team | 攻击模拟和测试 | | PowerShell | 管理和安全任务 | ## 实验室架构 ``` +-------------------+ | Attacker System | +-------------------+ | v +-------------------+ | Windows Server AD | | Domain Controller | +-------------------+ | v +-------------------+ | Wazuh Agent | +-------------------+ | v +-------------------+ | Ubuntu Wazuh SIEM | | Manager & Indexer | +-------------------+ | v +-------------------+ | Wazuh Dashboard | | Windows 11 | +-------------------+ ``` ## 功能 - 实时安全监控 - Active Directory 日志收集 - 暴破攻击检测 - 登录失败事件监控 - 自定义 Wazuh 规则创建 - 安全事件关联 - 红队攻击模拟 - 蓝队事件监控 - 告警生成和分析 - SOC 工作流模拟 ## 攻击模拟 该实验室包含受控攻击模拟，以测试 SIEM 环境的检测能力。 ### 模拟攻击 - 暴破登录尝试 - 认证失败事件 - 未授权访问尝试 - 可疑的 PowerShell 活动 - 侦察活动 ## 检测与监控 通过 Wazuh SIEM 监控了以下活动： - Windows 事件日志 - 认证失败 - 用户帐户活动 - PowerShell 执行日志 - Sysmon 进程创建事件 - 安全告警和规则触发 添加了自定义规则，以提高对暴破和可疑身份验证行为的检测准确性。 ## SOC 工作流 1. 生成攻击活动 2. 从端点收集日志 3. 将日志转发到 Wazuh Manager 4. 使用 Wazuh Dashboard 分析事件 5. 检测可疑活动 6. 通过自定义规则触发告警 7. 调查事件 8. 记录发现和响应 ## 主要学习成果 - 了解 SIEM 架构和工作流 - Wazuh SIEM 的实践经验 - Active Directory 安全监控 - 实时事件分析 - 威胁检测和事件响应 - 日志分析和事件关联 - 规则创建和调优 - SOC 分析师实践工作流理解 ## 截图 ### Wazuh 仪表板 ### 暴破检测告警 ### 自定义规则配置 ### Active Directory 环境 ## 未来改进 - 集成 XDR 解决方案 - 自动化事件响应 - 威胁情报集成 - 电子邮件告警系统 - 高级恶意软件检测 - 仪表板自定义 - 基于机器学习的异常检测 ## 结论 SOCForge 演示了如何将 SIEM 解决方案和 Active Directory 环境集成，以创建用于网络安全学习和威胁检测的实用 SOC 监控实验室。 该项目通过动手实践，帮助了解了企业级监控、攻击检测、日志分析和事件响应流程。 ## 作者 **Yuvaraj M** 网络安全爱好者 | SOC 分析员候选人 | SIEM 和威胁监控学习者

标签：Active Directory, AI合规, AMSI绕过, Atomic Red Team, IPv6, IT安全, OPA, OpenCanary, Plaso, PowerShell, Sysmon, Terraform 安全, TGT, Wazuh, Windows Server, 事件关联, 云计算, 企业安全, 免杀技术, 威胁检测, 安全实验室, 安全运营中心, 库, 应急响应, 攻防演练, 数据展示, 数据泄露检测, 暴力破解检测, 活动目录, 红队, 网络安全, 网络映射, 网络资产管理, 规则引擎, 身份与访问管理, 隐私保护, 靶场, 黑客攻防