BexPy/purple-hat-portfolio

# 蓝紫队网络安全项目组合 欢迎来到我的网络安全项目组合！这个仓库是我动手工程实践和专业技术文档中心。它追踪我在构建进攻性威胁模拟（红队）和设置企业级检测工程（蓝队）方面的实际经验。 我的项目专注于模拟现代网络攻击，设置集中日志转发，分析数据字段，并构建高保真警报，以帮助安全运营中心（SOC）团队减少分类时间。 ## 🖥️ 家庭实验室网络架构与基础设施 所有模拟攻击和防御监控都在一个受控的虚拟化实验室中本地进行。整个环境运行在一个专用的 **Dell OptiPlex 7070 SFF** 迷你PC上，作为 **Proxmox VE** 虚拟机管理程序主机，配备了 **Intel i7-9700，32GB DDR4 RAM，以及1TB NVMe SSD**。 网络使用桥接网络架构模拟一个分段的企业环境： ``` +-------------------------------------------------------+ | Proxmox VE Hypervisor Host (Dell OptiPlex) | +-------------------------------------------------------+ | +-------------------+-----------------+-------------------+-------------------+ | | | | | [ VM1: Ubuntu ] [ VM2: Ubuntu ] [ VM3: Windows 11 ] [ VM4: Kali Linux ] • IP: 10.0.0.15 • IP: 10.0.0.90 • IP: 10.0.0.72 • IP: 10.0.0.150 • Roles: • Roles: • Roles: • Roles: - Wazuh Manager - Splunk Ent. - Threat Target - Attacker Node - Central XDR Indexer v10 - Sysmon64 v15 - X11 Display - Custom XML - Core SIEM - Win Forwarder - Active OpenSSH ``` ## 🔬 实践项目与技术文档 ### 🔹 第一层：核心SIEM操作与威胁分类（Splunk重点） * **[项目1：集中暴力破解认证分类](docs/projects/01_brute_force_triage.md)** * *重点：* 通过解析Splunk中的Windows事件ID 4625（登录失败）和登录类型2数据来分类交互式RDP暴力破解攻击。 * **[项目2：Windows注册表持久化机制监控](docs/projects/02_registry_persistence.md)** * *重点：* 使用Sysmon事件ID 12和13检测恶意软件尝试通过Windows启动“运行”注册表键留在系统上。 * **[项目3：恶意PowerShell下载脚本监控](docs/projects/03_powershell_downloader.md)** * *重点：* 审计实时PowerShell命令行参数，以发现攻击者使用的隐藏或混淆的下载标志（`-nop`，`-w hidden`）。 ### 🔸 第二层：高级检测工程与威胁狩猎（Wazuh & Splunk） * **[项目4：LSASS内存滥用与凭证转储检测](docs/projects/04_lsass_dump_detection.md)** * *重点：* 使用高级Splunk处理访问查询和Wazuh中的自定义XML规则来捕获凭证盗窃尝试（MITRE ATT&CK T1003.001）。 * **[项目5：勒索软件欺骗技术与自动化金丝雀警报](docs/projects/05_canary_file_alerts.md)** * *重点：* 将与实时文件完整性监控（FIM）策略绑定的诱饵金融资产放置在勒索软件加密之前，以阻止其加密。 ## 🛠️ 网络安全工具包与核心技能 * **SIEM / XDR平台：** Splunk Enterprise，Wazuh XDR/SIEM，文件完整性监控（FIM）引擎。 * **端点遥测工具：** Microsoft Sysmon64，Windows高级安全审计策略，Linux系统日志。 * **威胁框架：** MITRE ATT&CK映射，网络杀伤链，防御欺骗策略。 * **操作系统：** Windows 11企业版，Ubuntu Linux LTS，Kali Linux，Proxmox VE。 * **语言与脚本：** Python，PowerShell，XML检测语法，Splunk搜索处理语言（SPL）。

标签：AI合规, Dell OptiPlex, Intel i7, Proxmox VE, RAM, SSD, Sysmon, Wazuh, Windows 11, XML, 安全实验室, 安全文档, 安全测试, 安全警报, 安全运营中心, 攻击性安全, 桥接网络, 混合加密, 红队攻击, 网络安全, 网络安全实践, 网络安全工程, 网络安全技术, 网络映射, 网络架构, 蓝队防御, 虚拟化, 隐私保护