ZhenpengLin111/enterprise-attack-detection-homelab

# 企业级攻击检测家庭实验室 大多数初级安全实验室的进度往往停留在“我获得了一台机器的访问权限”。我希望这个项目能走得更远一些。 我搭建这个实验室是为了练习完整的安全闭环： 1. 构建一个小型企业级环境 2. 故意对其中的部分配置进行错误设置 3. 模拟攻击者活动 4. 在 Wazuh 中收集日志 5. 创建告警 6. 调查发生的事件 7. 记录我将要进行的强化措施 该实验室围绕一个名为 **ProjectX** 的虚构公司网络构建。它包括 Active Directory、Windows 和 Linux 端点、一台企业服务器、一台 Wazuh 安全服务器、一台模拟邮件服务器以及一台 Kali 攻击者 VM。 主要目标不仅是运行工具，而是为了从防守方的角度理解常见的攻击行为是什么样的。 ## 它的功能 - 在隔离的 NAT 网络上构建一个小型企业级实验室 - 使用 Active Directory 进行集中身份管理和加入域的系统 - 使用 Wazuh 作为主要的 SIEM/XDR 平台 - 使用 MailHog 模拟内部邮件和网络钓鱼投递 - 使用 Kali Linux 模拟攻击者活动 - 生成关于 SSH 暴力破解、远程访问、文件更改和持久化行为的遥测数据 - 记录发生的事件、检测到的内容、遗漏的内容以及应该强化的内容 - 为未来的升级留下空间，例如 Security Onion、Sigma 规则、Sysmon、Atomic Red Team 和自动化 ## 展示的技能 - Active Directory 实验室管理 - Windows 和 Linux 端点监控 - Wazuh SIEM/XDR 部署和 agent 注册 - SSH、WinRM、RDP 和网络钓鱼模拟分析 - 敏感文件的文件完整性监控（FIM） - 检测调优和误报分析 - 事件响应文档记录 - 安全强化建议 ## 主要发现 - Wazuh 检测到了重复的 SSH 身份验证失败。 - 通过 Windows 事件日志可以查看到 WinRM 登录活动。 - 文件完整性监控检测到了敏感文件的修改。 - 未受监控的企业服务器造成了故意的可见性盲区。 - 在添加 Security Onion 或其他 IDS 之前，网络层面的可见性是有限的。 - 更强大的 Windows 遥测技术（例如 Sysmon）将提升对进程和 PowerShell 的可见性。 ## 范围 阶段 1 重点是构建实验室、生成攻击者行为、收集端点日志，并记录第一个检测和响应周期。 本阶段包括 Active Directory、Wazuh、MailHog、Linux 和 Windows 端点、SSH 暴力破解、网络钓鱼模拟、WinRM/RDP 访问、敏感文件访问、数据外泄、持久化测试以及强化建议。 未来的阶段将增加更深层次的网络可见性、Sysmon、Sigma 规则、Security Onion、Atomic Red Team 测试和自动化。 ## 当前状态 阶段 1 已完成。未来的阶段将通过更强大的遥测、网络监控、额外的检测规则和自动化来扩展该实验室。 | 领域 | 状态 | |---|---| | 虚拟网络 | 已完成 | | 域控 | 已完成 | | Windows 工作站 | 已完成 | | Ubuntu 工作站 | 已完成 | | 企业服务器 | 已完成 | | 安全服务器 | 已完成 | | MailHog 邮件模拟 | 已完成 | | Wazuh 设置 | 已完成 | | Wazuh agent | 已完成 | | 攻击模拟 | 已完成 | | 自定义检测 | 已完成 | | 事件报告 | 已完成 | | Security Onion | 未来扩展 | ## 架构  该实验室运行在隔离的 `10.0.0.0/24` NAT 网络上。 | 主机 | IP 地址 | 用途 | |---|---:|---| | `project-x-dc` | `10.0.0.5` | 域控、DNS、DHCP、SSO | | `project-x-corp-svr` | `10.0.0.8` | 企业服务器、跳板机、Docker 主机、MailHog | | `project-x-sec-box` | `10.0.0.10` | Wazuh 安全服务器 | | `project-x-win-client` | `10.0.0.100` 或 DHCP | Windows 工作站 | | `project-x-linux-client` | `10.0.0.101` 或 DHCP | Ubuntu 工作站 | | `project-x-attacker` | DHCP | Kali 攻击机 | | `project-x-sec-work` | `10.0.0.103` 或 DHCP | Security Onion / 未来监控 | ## 主要文档 | 文件 | 用途 | |---|---| | `docs/01-network-architecture.md` | 网络布局和主机设计 | | `docs/02-asset-inventory.md` | VM 角色、IP 和监控状态 | | `docs/03-vulnerable-environment.md` | 预期的脆弱环境配置 | | `docs/04-attack-simulation.md` | 攻击路径和防御者问题 | | `docs/05-detection-engineering.md` | Wazuh 检测和调优笔记 | | `docs/06-incident-report.md` | 阶段 1 事件报告 | | `docs/07-hardening-recommendations.md` | 模拟后我将要修复的问题 | | `docs/08-troubleshooting-log.md` | 我遇到的问题及其解决方法 | ## 免责声明 该实验室是隔离的，仅用于学习防御性安全、检测工程和事件响应。所有测试均仅针对我自己的虚拟机进行。

标签：Active Directory, PE 加载器, Plaso, Terraform 安全, Wazuh, x64dbg, 后端开发, 安全实验室, 库, 应急响应, 请求拦截