ibondarenko1/blue-team-engagement
GitHub: ibondarenko1/blue-team-engagement
这是一个为期一周的企业网络红蓝对抗演练案例研究,通过实际攻击模拟来提升防御和响应能力。
Stars: 0 | Forks: 0
# 企业网络防御 - 一周蓝队压力测试
在隔离的企业实验室网络上进行的一次受控、为期一周的红队/蓝队对抗演练。
场景客户:**SecureNet Inc.** 实时对抗的红队。一个完整的
系统加固与防御生命周期,端到端记录。
## 概览
| | |
|---|---|
| **持续时间** | 一周,端到端 |
| **角色** | 新任安全顾问,蓝队 |
| **资产范围** | 8个在范围内的系统 - 一个Windows域、Web和应用服务器、一个SIEM、边界防火墙 |
| **对手** | 一支活跃的红队,从演练开始即发起攻击,无准备窗口 |
| **结果** | 1台主机被攻陷,1次攻击被遏制,6个系统未被利用 |
## 结果
在一周的持续攻击中,确实有一台主机被攻陷(通过Web远程代码执行
获取反向Shell),并在大约55分钟内被检测和遏制。一台主机发现
有Web Shell被上传但从未执行 - 这是一次被遏制的尝试。六台系统未显示
被利用的迹象,这已通过结束时段的法证勘验确认。那次攻陷
已被完整记录,同样记录在案的还有当更深入的分析与最初解读
相悖时所做的法证修正。详见
[结果与法证分析](docs/09-outcome-and-forensics.md)。
## 目录
本仓库**即为**演练报告。可以顺序阅读,也可以跳转至
任意章节。每个页面底部都有指向下一节的链接。
**报告**
1. [执行摘要](docs/00-executive-summary.md)
2. [环境概况](docs/01-environment.md)
3. [初始状态:第一天](docs/02-initial-state.md)
4. [演练时间线](docs/03-engagement-timeline.md) - 整周每日详细回顾
5. [加固:防火墙](docs/04-hardening-firewall.md)
6. [加固:凭证与Active Directory](docs/05-hardening-identity.md)
7. [加固:逐主机](docs/06-hardening-hosts.md)
8. [检测与欺骗](docs/07-detection-and-deception.md)
9. [监控与响应堆栈](docs/08-monitoring-stack.md)
**事件报告**
10. [SO-1: Shellshock利用尝试](docs/incidents/SO-1-shellshock.md)
11. [SO-2: Web RCE攻陷](docs/incidents/SO-2-web-rce-compromise.md)
12. [SO-3: OwnCloud GraphAPI探测](docs/incidents/SO-3-owncloud-probe.md)
13. [SO-4: HTTP请求走私](docs/incidents/SO-4-http-smuggling.md)
14. [SO-5: 多端口扫描与RDP拒绝服务](docs/incidents/SO-5-port-scan.md)
**总结与附录**
15. [结果与法证分析](docs/09-outcome-and-forensics.md)
16. [建议](docs/10-recommendations.md)
17. [附录A:变更日志](docs/appendix-A-change-log.md)
18. [附录B:工具与技术](docs/appendix-B-tools.md)
19. [附录C:MITRE ATT&CK覆盖范围](docs/appendix-C-mitre-attack.md)
## 支持材料
| 路径 | 内容 |
|---|---|
| [`detection/`](detection/) | 在Security Onion中部署的自定义Sigma检测规则包 |
| [`automation/`](automation/) | 响应自动化守护进程 - 警报桥、自动阻断、自动解除阻断、看门狗、正常运行时间监控器 - 作为清晰的参考实现 |
| [`methodology/`](methodology/) | 演练期间使用的变更管理和结构化修复方法 |
| [`assets/`](assets/) | 拓扑图及其生成脚本;嵌入式截图 |
## 展示的技能
- **SIEM运维** - Security Onion (Suricata, Zeek, Sigma, Elasticsearch 以及 Kibana Hunt界面)
- **检测工程** - 一个自定义的Sigma规则包,映射了MITRE ATT&CK
- **网络安全** - pfSense防火墙加固、分段、以及基于别名的阻断(带有基于时间的自动阻断管道)
- **Windows与Active Directory加固** - CIS基准、krbtgt轮换、权限蔓延清理、AS-REP Roasting缓解
- **Linux加固** - SSH, Samba, UFW, auditd, fail2ban
- **在实时压力下的事件响应与主机法证分析**
- **严谨的变更管理** - 一个仅追加的注册表,其中每项变更都附带回滚和重新应用命令
*受控的实验室演练。SecureNet Inc. 是一个虚构的场景公司。该实验室全程使用私有RFC1918地址。*
标签:Active Directory加固, ASM汇编, CISA项目, Libemu, Metaprompt, SIEM部署, Sigma检测规则, Terraform 安全, Web Shell检测, Web服务器安全, Windows域安全, 主机加固, 企业安全, 压力测试, 安全事件响应, 安全咨询, 安全生命周期, 应用服务器安全, 方法论, 案例研究, 检测与欺骗, 流量捕获, 混合加密, 监控与响应, 管理员页面发现, 红队攻击, 网络安全, 网络拓扑, 网络资产管理, 蓝队防御, 越狱测试, 防御演练, 防火墙加固, 隐私保护