slim92code/purple-team-lab

## 范围 / 诚实警告（实验室，非生产环境） - `C:\Temp` 是 Defender 的排除项，因此有效载荷的交付可以在摄像头上进行重现；在生产环境中则不会，第 10 段中 AppLocker 的修复正是针对这一路径。 - DC SMB/RPC 从 Kali 被防火墙过滤，因此特权攻击通过一个端点进行转换——这本来就是现实路径。 - 单域，尚未部署 NDR/EDR 层（实验室 v2：pfSense+Suricata/Zeek 用于 JA3，Wazuh，MISP）。 *自学成才。背景：TCM Security（14 门课程），TryHackMe（前 1%，包括 173 个房间，其中包含 SOC-SIM）。*

标签：AD 攻击链, AppLocker, C2 分析, Metaprompt, NDR/EDR, pfSense, Purple Team, Rootkit, Sigma 规则, SMB/RPC, SOC L2, SOC 模拟, Suricata, TCM Security, TryHackMe, Wazuh, Zeek, 单域环境, 域名分析, 安全实验室, 现代安全运营, 端点攻击, 管理员页面发现, 网络安全, 自我学习, 防御者排除, 防火墙过滤, 隐私保护