andresscyber/active-directory-attack-defend-lab

GitHub: andresscyber/active-directory-attack-defend-lab

该项目基于 Windows Server 2022、Sysmon 和 Wazuh 构建 Active Directory 攻防实验室，用于模拟攻击者技术并练习检测工程、威胁狩猎和 MITRE ATT&CK 映射等 SOC 核心技能。

Stars: 0 | Forks: 0

# Active Directory 攻防实验室 ## 概述本项目演示了如何部署一个集成了 Sysmon 和 Wazuh 的 Active Directory 实验室环境，用于检测工程、威胁狩猎和安全监控。该实验室模拟了常见的攻击者技术，包括账户创建、提权、账户发现、身份验证失败尝试、PowerShell 执行以及与恶意软件相关的活动。安全遥测数据通过 Sysmon 收集并转发至 Wazuh，在 Wazuh 中对检测结果进行分析并映射至 MITRE ATT&CK 技术。该项目旨在模拟真实场景中的 SOC 分析师和检测工程工作流，包括告警分类、调查以及 MITRE ATT&CK 映射。 ## 实验室目标 - 构建 Active Directory 环境 - 部署 Windows Server 2022 域控制器 - 将 Windows 11 工作站加入域 - 安装并配置 Sysmon - 安装并配置 Wazuh 代理 - 模拟攻击者技术 - 生成安全事件 - 执行威胁狩猎调查 - 将检测结果映射至 MITRE ATT&CK ## 使用的技术 - Windows Server 2022 - Windows 11 - Active Directory Domain Services - Sysmon - Wazuh - PowerShell - MITRE ATT&CK - VMware Workstation ## 实验室架构 ``` Windows Server 2022 Domain Controller │ ▼ Active Directory │ ▼ Windows 11 Domain Workstation │ ▼ Sysmon │ ▼ Wazuh Agent │ ▼ Wazuh Manager ``` ## Active Directory 部署 ### 域控制器设置 ![域控制器](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/966c646a12110104.png) ### 域工作站加入域 ![工作站](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/784d4d725b110110.png) ## Sysmon 和 Wazuh 部署 ### Sysmon 安装 ![Sysmon](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/04-sysmon-wazuh/03-sysmon-installed.png) ### Wazuh 代理注册 ![Wazuh 代理](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6530bee9de110322.png) ### Sysmon 操作事件 ![Sysmon 事件](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/04-sysmon-wazuh/08-sysmon-events-operational-log.png) ## 攻击模拟 ### 编码 PowerShell 执行 ![PowerShell](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/05-attack-simulation/01-encoded-powershell-execution.png) ### 用户账户创建 ![用户创建](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f0a412e3d6110646.png) ### 登录失败活动 ![登录失败](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/05-attack-simulation/04-failed-logon-attempts.png) ### 提权 ![提权](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/05-attack-simulation/08-eviluser-added-to-admin-group.png) ## 检测事件 ### 用户账户创建检测 ![用户创建检测](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/06-detection-events/02-user-account-creation-detection.png) ### 登录失败检测 ![登录失败检测](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/06-detection-events/04-failed-logon-detection.png) ### 恶意软件投放检测 ![恶意软件检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/e861c42a76111255.png) ### 管理员组检测 ![管理员检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/c094a5fa7c111321.png) ### 发现活动检测 ![发现检测](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/f77c5de488111328.png) ## 威胁狩猎 ### 登录失败调查 ![威胁狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/969e3528ce111335.png) ### 用户账户调查 ![威胁狩猎](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/07-threat-hunting/02-investigating-eviluser-account.png) ### 恶意软件告警调查 ![威胁狩猎](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/07-threat-hunting/06-hunting-malware-drop-alerts.png) ## MITRE ATT&CK 映射 ### ATT&CK 概览 ![MITRE](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/d5f01f441f111651.png) ### 用户账户创建映射 ![MITRE 映射](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/08-mitre-mapping/02-user-account-created-mitre-mapping.png) 映射的技术： - T1136 – Create Account ## Wazuh 仪表板 ### 平台概述 ![仪表板](https://raw.githubusercontent.com/andresscyber/active-directory-attack-defend-lab/main/screenshots/09-final-dashboard/01-wazuh-overview-dashboard.png) ### 检测工程告警摘要 ![检测摘要](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/db52b6d4d9112008.png) ## 展示技能 - Active Directory 管理 - Windows 安全监控 - 检测工程 - 威胁狩猎 - 安全事件分析 - Sysmon 配置 - Wazuh 管理 - MITRE ATT&CK 映射 - 安全调查 - 日志分析 ## 简历亮点 - 使用 Windows Server 2022、Windows 11、Sysmon 和 Wazuh 构建了 Active Directory 攻防实验室。 - 针对用户创建和管理员组成员身份变更开发了自定义检测规则。 - 使用 Wazuh 事件遥测和 Sysmon 日志执行了威胁狩猎调查。 - 将检测结果映射至 MITRE ATT&CK 技术，以提升检测覆盖率和分析能力。 - 构建了自定义 Wazuh 检测规则，用于识别 Windows Active Directory 环境中的账户创建和管理员组成员身份变更。

标签：Active Directory, AI合规, Plaso, SOC分析, Sysmon, Wazuh, 安全实验室