Nelson285-ctrl/soc-homelab

GitHub: Nelson285-ctrl/soc-homelab

这是一个专注于检测工程、Active Directory安全和事件响应的蓝队网络安全家庭实验室。

Stars: 0 | Forks: 0

# Active Directory 与 Splunk SOC 实验室 ## 项目概述 本项目演示了如何利用以下工具搭建一个安全运营中心 (SOC) 家庭实验室: - Active Directory - Windows Server 域控制器 - Windows 10 终端设备 - Sysmon - Splunk Enterprise - Splunk Universal Forwarder 目标是集中收集 Windows 安全日志和 Sysmon 日志,执行安全调查,并为身份验证相关事件开发检测规则。 ## 架构 ![SOC实验室架构](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/5f62ebff2a033000.png) ## 环境 | 系统 | 角色 | |----------|----------| | WIN-HPVL4I8DLD0 | 域控制器 | | DESKTOP-PUCRC32 | Windows 10 终端设备 | | Splunk Enterprise | SIEM 平台 | ## 日志来源 ### Windows 安全日志 - 事件 ID 4624 – 登录成功 - 事件 ID 4625 – 登录失败 - 事件 ID 4672 – 特殊权限已分配 - 事件 ID 4740 – 账户锁定 ### Sysmon 日志 - 进程创建 - 进程终止 - 终端活动监控 ## 安全监控面板 该面板包含: - 随时间变化的失败登录 - 随时间变化的成功登录 - 失败次数最多的账户 - 按主机分布的事件 - 最常见的安全事件 ID SOC 监控面板 ![SOC面板](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/5373ad3359033001.png) 调查面板 ![调查面板](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/0d17276742033002.png) ## 示例 SPL 查询 ### 登录失败(事件 ID 4625) 目的:识别失败的认证尝试和潜在的暴力破解活动。 ``` index=main EventCode=4625 |stats count by Account_Name Failure_Reason |sort-count ``` ### 登录成功(事件 ID 4624) 目的:监控成功的认证活动,以建立用户行为基线,并识别潜在的可疑账户访问。 ``` index=main EventCode=4624 | stats count by host ``` ### 账户锁定(事件 ID 4740) 目的:检测可能表明密码喷洒、暴力破解攻击或重复认证失败的账户锁定事件。 ``` index=main EventCode=4740 | stats count by TargetUserName ``` ### 失败次数最多的账户 目的:识别产生最多认证失败尝试的账户,以支持凭证攻击和系统配置错误的调查。 ``` index=main EventCode=4625 | stats count by Account_Name | sort - count ``` ### 按主机分布的事件 目的:分析事件在主机间的分布,以识别产生异常大量安全活动的系统。 ``` index=main | stats count by host ``` ### 最常见的安全事件 ID 目的:识别最频繁发生的安全事件,以了解认证趋势并优先安排监控工作。 ``` index=main sourcetype=WinEventLog:Security | stats count by EventCode | sort - count ``` ### 多次登录失败告警 目的:通过识别在短时间内产生多次登录失败尝试的账户,来检测潜在的暴力破解或密码喷洒活动。 ``` index=main EventCode=4625 | bucket span=5m _time | stats count by _time Account_Name host | where count >= 5 ``` ## 展示的技能 - Active Directory 管理 - Windows 事件日志记录 - Sysmon 部署 - Splunk Enterprise 管理 - Universal Forwarder 配置 - SPL 查询开发 - 面板创建 - 身份验证监控 - 安全调查 ## 经验教训 - 部署 Sysmon 可提高终端可见性。 - Universal Forwarder 简化了集中式日志收集。 - Windows 安全事件 ID 可用于创建实用的 SOC 检测规则。 - 面板提供了跨多个主机的身份验证活动可见性。 ## 未来改进 - 创建账户锁定(4740)检测规则 - 添加 Sysmon 进程创建检测规则 - 构建 Splunk 告警和自动通知 - 将监控扩展到更多终端设备
标签:Active Directory安全, SPL查询, Sysmon, Terraform 安全, Windows安全日志, 事件日志分析, 仪表板, 安全信息管理, 安全演练, 安全运营中心, 家庭实验室, 日志收集, 端点监控, 网络安全, 网络映射, 认证事件, 隐私保护