amazed007/CSE-802-Adversary-Emulation-Detection-Lab

GitHub: amazed007/CSE-802-Adversary-Emulation-Detection-Lab

一个SOC家庭实验室项目，通过Atomic Red Team模拟攻击并结合Splunk与Sysmon实现基于MITRE ATT&CK框架的威胁检测。

Stars: 0 | Forks: 0

# 对手模拟与检测工程实验室 ## 课程信息 - **课程：** 信息安全与密码学 (CSE-802) - **作业：** 对手模拟与检测工程实验室 - **学生姓名：** Md Abdul Mazed - **学号：** SH-60038 - **注册号：** H-430 - **批次：** 6 - **大学：** 达卡大学 (University of Dhaka) ## 项目概述本项目演示了用于对手模拟和威胁检测的安全运营中心 (SOC) 家庭实验室的实现。该环境旨在模拟网络攻击，并使用 Splunk Enterprise 和 Microsoft Sysmon 分析安全遥测数据。目标是使用 Atomic Red Team 生成攻击活动，并通过映射到 MITRE ATT&CK 框架的基于行为的分析来检测它们。 ## 实验室环境 ### 虚拟机 | 系统 | 用途 | |----------|----------| | Windows Server 2019 | 目标/受害机 | | Kali Linux | Splunk SIEM 服务器 | ### 网络配置 - NAT 网络 - 隔离的实验室环境 - 通过 Splunk Universal Forwarder 进行日志转发 ## 工具与技术 - Oracle VirtualBox - Kali Linux - Windows Server 2019 - Splunk Enterprise - Splunk Universal Forwarder - Microsoft Sysmon - Atomic Red Team - MITRE ATT&CK 框架 ## 架构 Atomic Red Team ↓ Windows Server 2019 ↓ Sysmon ↓ Splunk Universal Forwarder ↓ Splunk Enterprise (Kali Linux) ↓ 检测与分析 ## 攻击模拟已执行以下 MITRE ATT&CK 技术： | 技术 ID | 技术 | |-------------|------------| | T1053.005 | 计划任务 | | T1218.005 | MSHTA | | T1003.001 | LSASS 内存转储 | | T1059.001 | PowerShell 下载 Cradle | | T1112 | 注册表修改 | ## 检测工程 ### Sysmon Event ID 1 用于： - 计划任务检测 - MSHTA 检测 - PowerShell 检测 ### Sysmon Event ID 10 用于： - LSASS 凭据转储检测 ### Sysmon Event ID 13 用于： - 注册表修改检测 ### PowerShell Event ID 4104 用于： - Script Block Logging 检测 ## SPL 查询示例 ### 计划任务检测 ``` index=win source="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 Image="*\\schtasks.exe" CommandLine="*/create*" | table _time, Computer, User, Image, CommandLine, ParentImage ``` ### LSASS 转储检测 ``` index=win source="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=10 TargetImage="*\\lsass.exe" | table _time, Computer, SourceImage, TargetImage, GrantedAccess ``` ### PowerShell 检测 ``` index=win source="XmlWinEventLog:Microsoft-Windows-Sysmon/Operational" EventCode=1 Image="*\\powershell.exe" (CommandLine="*DownloadString*" OR CommandLine="*Net.WebClient*" OR CommandLine="*IEX*") | table _time, Computer, User, Image, CommandLine ``` ## 结果该项目成功演示了： - 使用 Atomic Red Team 进行攻击模拟 - 使用 Sysmon 收集遥测数据 - 通过 Splunk Universal Forwarder 转发日志 - 使用基于行为的 SPL 查询进行威胁检测 - 将检测结果映射到 MITRE ATT&CK 技术 ## 截图截图可在 `screenshots/` 目录中找到。示例： - Splunk 仪表板 - Sysmon 安装 - Universal Forwarder 配置 - Atomic Red Team 执行 - 检测查询结果 ## 结论该 SOC 家庭实验室成功演示了对手模拟、集中化日志收集，以及使用 Splunk Enterprise 和 Sysmon 进行基于行为的威胁检测。该项目提供了在受控环境中进行威胁狩猎、检测工程和安全监控的实践经验。 ## 作者 **Md Abdul Mazed** 计算机科学与工程系达卡大学 (University of Dhaka)

标签：AI合规, OpenCanary, Sysmon, 安全实验室, 安全运营, 扫描框架, 攻击模拟, 驱动签名利用