ThomasMann2001/security-homelab

GitHub: ThomasMann2001/security-homelab

一个安全检测工程实验室项目,通过 KQL 查询、Sysmon 日志分析和 Atomic Red Team 攻击模拟,积累 Microsoft Sentinel 检测规则编写与威胁狩猎的实践经验。

Stars: 0 | Forks: 0

# 安全家庭实验室 我是一名系统管理员,拥有 Active Directory、监控和 OT 环境方面的经验——目前正在向安全运营方向转型。 我的毕业项目侧重于保护生产系统免受恶意软件攻击——这也是我对检测工程产生兴趣的原因。 本仓库记录了这一转型过程:包含 KQL 查询、实验室环境搭建,以及我在使用 Microsoft Sentinel 和 Defender XDR 积累实践经验时撰写的分析报告。 ## 当前内容 **[`kql-queries/`](kql-queries/)** — 针对 Microsoft Sentinel 的 6 个检测查询: - 失败的登录尝试(SigninLogs) - 暴力破解检测:失败登录后紧接着登录成功(SigninLogs) - 带有混淆特征的可疑 PowerShell 执行(DeviceProcessEvents) - 非工作时间内的成功登录(SigninLogs) - 通过 Smart Lockout 触发的账户锁定(SigninLogs) - 密码喷射检测:单个 IP 对多个账户进行尝试并失败(SigninLogs) 每个查询都包含注释,解释了它检测的内容、其重要性,以及 它对应映射到的 MITRE ATT&CK 技术。 **[`writeups/`](writeups/)** — 来自实验室练习的检测报告: - [使用 Sysmon 检测可疑的 PowerShell 执行](writeups/01_sysmon-powershell-detection.md) — T1059.001 模拟与 Sysmon Event ID 1 验证 - [检测计划任务持久化](writeups/02_atomic-redteam-scheduled-task.md) — 使用 Atomic Red Team 模拟 T1053.005,并通过 Sysmon Event ID 1、13 和 3 进行检测 - [检测密码喷射攻击](writeups/03_password-spray-detection.md) — 在 KQL 中进行 T1110.003 检测工程:为什么基于单账户的阈值无法检测喷射攻击,以及如何利用源 IP 广度进行数据透视 - [检测本地管理员账户创建](writeups/04_local-admin-account-creation.md) — 使用 Atomic Red Team 模拟 T1136.001,net.exe → net1.exe 行为分析,以及用于检测用户与组链接权限提升的 KQL 查询 ## 目前完成的工作 - **Sysmon 实验室** — 位于隔离 VLAN 上的 Windows 11 虚拟机,使用 SwiftOnSecurity 配置的 Sysmon([环境搭建](lab-setup/)) - **Atomic Red Team** — 模拟了四种 ATT&CK 技术,并验证了 Sysmon 实际捕获的内容 - **报告** — 记录了每次练习,包括检测逻辑和我的学习心得 ## 下一步计划 - 将独立的查询转化为标准的 Sentinel analytics 规则(包括调度、实体映射和阈值调优) - 将现有的检测映射到 ATT&CK Navigator 层,以查看覆盖盲区 - 使用 Atomic Red Team 模拟更多技术——横向移动和凭据访问是我接下来的重点 - 努力考取 SC-200 认证 ## 相关项目 [HeimServer-Projekt](https://github.com/ThomasMann2001/HeimServer-Projekt) — 我的自托管基础设施,包括 UniFi VLAN 分段、防火墙规则和 IDS/IPS 配置。
标签:AMSI绕过, KQL, Microsoft Sentinel, OpenCanary, Terraform 安全, 威胁检测, 安全运营, 扫描框架, 红队行动