solomonhenry-afk/Detection-Engineering-Purple-Team-Validation

# 任务 7 — 检测工程与紫队验证。 # 检测工程与紫队验证 - 构建企业 SOC 检测管道 任务 7 标志着从执行安全评估向验证企业安全运营中心 (SOC) 能否检测、调查和响应真实攻击活动的转变。目标不仅是执行攻击技术，而是确认防御控制机制能够在网络、Active Directory 和 Windows 安全日志中产生有意义的遥测数据。 在整个阶段中，我在受控的 Active Directory 环境中模拟了网络攻击生命周期的多个阶段。活动包括使用 Nmap 进行网络侦察、LDAP 枚举、使用 BloodHound 进行 Active Directory 关系映射、Kerberos 票据请求、针对专用服务账户的 Kerberoasting、基于 WinRM 的远程管理、SMB SYSVOL 枚举以及使用 Wireshark 进行数据包级验证。每项活动都与 Splunk Enterprise 中的 Windows 安全事件日志相关联，并映射到 MITRE ATT&CK 框架以验证企业检测覆盖率。 从检测工程的角度来看，此练习展示了安全团队如何将攻击技术转化为可操作的检测。现代 SOC 运营不再仅仅关注防御，而是优先考虑可见性、告警、调查和持续改进。通过验证身份验证事件、服务票据请求、远程管理会话、文件共享访问和侦察活动，我确认了防御遥测数据准确反映了模拟攻击链的每个阶段。 该项目还强化了紫队协作的重要性，其中进攻性安全活动可直接改善防御监控。每个经过验证的事件都有助于增强检测内容、提高调查手册的有效性，并实现企业安全成熟度的可衡量提升。 ## 企业目标 针对以下方面开发和验证企业检测能力： * 网络侦察 * 服务发现 * Active Directory 枚举 * LDAP 查询 * Kerberos 身份验证 * Kerberoasting 攻击 * SMB 共享枚举 * WinRM 远程管理 * 数据包级流量验证 * SIEM 检测工程 * MITRE ATT&CK 覆盖率验证 ## 业务影响 企业组织越来越多地假设攻击者会获得初始立足点。因此，主要目标变为快速检测、调查和遏制，而不仅仅依赖预防性控制。 该项目展示了在验证企业日志基础设施是否为身份攻击、侦察、凭据滥用和横向移动提供足够可见性方面的实践经验。这些能力直接支持安全运营中心 (SOC)、事件响应团队、威胁狩猎项目、紫队参与和检测工程计划。 ## 重要性 检测工程将原始安全遥测数据转化为有意义的警报，使分析师能够在发生重大业务影响之前识别恶意行为。 跨以下方面验证遥测数据的能力： * Active Directory * Windows 安全日志 * 网络流量 * 身份验证事件 * 远程管理协议 是现代企业环境和云连接基础设施的核心要求。 ## 展示的企业技能 * 检测工程 * 紫队行动 * SOC 验证 * 威胁狩猎 * Active Directory 安全 * 身份攻击检测 * Windows 事件日志分析 * Splunk Enterprise SIEM * Wireshark 网络分析 * MITRE ATT&CK 映射 * 身份验证监控 * Kerberos 安全 * SMB 安全监控 * WinRM 安全验证 # 紫队验证摘要 完整的攻击生命周期已成功执行并验证。 已验证的攻击阶段包括： - 网络侦察 - 服务发现 - LDAP 枚举 - BloodHound Active Directory 收集 - Kerberos 身份验证 - Kerberoasting 模拟 - 服务票据请求 - WinRM 远程管理 - SMB SYSVOL 枚举 - 数据包捕获验证 - Windows 安全事件验证 - Splunk Enterprise 关联 - MITRE ATT&CK 映射 # 检测工程验证 以下企业检测已成功验证。 | 检测区域 | 状态 | | ----------------------------|---------| | 网络侦察 | ✅ | | LDAP 枚举 | ✅ | | Active Directory 发现 | ✅ | | Kerberos 身份验证 | ✅ | | Kerberoasting 检测 | ✅ | | WinRM 横向移动 | ✅ | | SMB 共享枚举 | ✅ | | Wireshark 数据包验证 | ✅ | | Splunk 事件关联 | ✅ | | MITRE ATT&CK 映射 | ✅ | # 使用的企业工具 **侦察** * Nmap **目录枚举** * BloodHound * BloodHound.py * Impacket GetADUsers **凭据访问** * Impacket GetUserSPNs * John the Ripper **远程管理** * Evil-WinRM **文件共享枚举** * smbclient * rpcclient **网络可见性** * Wireshark **安全监控** * Splunk Enterprise **威胁框架** * MITRE ATT&CK # 检测工程交付物 此任务生成了一个完整的企业检测包，包括： * 检测规则验证 * 紫队验证报告 * Windows 安全事件分析 * Active Directory 攻击映射 * 身份验证基线 * Kerberos 攻击检测 * Splunk 检测库 * Wireshark 网络证据 * MITRE ATT&CK 映射矩阵 * 安全执行摘要 # 执行摘要 任务 7 展示了端到端的企业检测工程工作流程，从侦察开始，经历 Active Directory 枚举、身份验证、凭据访问和横向移动。使用 Windows 安全事件日志、数据包捕获和 Splunk Enterprise 搜索验证了模拟攻击链的每个阶段，确认防御控制机制产生了与 MITRE ATT&CK 框架相一致的可操作遥测数据。 此练习反映了紫队行动的协作性质，其中使用攻击技术来衡量和改进防御可见性。通过关联网络活动、身份验证事件和终端日志，该项目展示了开发检测内容、调查安全事件和增强企业监控能力所需的实用技能。 # HR / 招聘人员摘要 此作品集展示了以下方面的实践经验： * 企业 Active Directory 安全 * 检测工程 * 紫队行动 * SOC 监控 * 威胁狩猎 * Windows 安全日志记录 * Splunk Enterprise * Wireshark 分析 * Kerberos 安全 * 身份攻击检测 * MITRE ATT&CK * 事件调查 * 身份验证监控 * 企业安全验证 ## 最终项目状态 在 **领域 2** 中，我现在已经构建并记录了完整的企业身份攻击和检测生命周期： * ✅ **任务 1：** Active Directory 部署与企业身份基础设施 * ✅ **任务 2：** Windows 日志记录、Sysmon 与 Splunk 集成 * ✅ **任务 3：** 网络流量基线与身份验证可见性 * ✅ **任务 4：** 漏洞评估与服务暴露分析 * ✅ **任务 5：** 企业身份攻击路径验证 (Kerberoasting) * ✅ **任务 6：** 横向移动验证 (WinRM 与 SMB) * ✅ **任务 7：** 检测工程与紫队验证 这构成了一个连贯的、端到端的项目，反映了企业 SOC、检测工程和 紫队参与的工作流程，并在网络、终端、身份和 SIEM 层收集了证据。 对于 SOC 分析师、检测工程师、紫队操作员、安全工程师、 事件响应等角色来说，这是一个强大的作品集证明。 状态：✅ 已完成 企业 Active Directory 攻击模拟、检测工程和紫队验证已成功完成， 在网络遥测、身份验证事件、数据包捕获、SIEM 检测和 MITRE ATT&CK 映射方面实现了端到端的可见性。 # 作者：Bassey Solomon Henry

标签：Active Directory安全, CTI, PE 加载器, StruQ, Terraform 安全, Web报告查看器, 安全运营, 扫描框架, 插件系统, 模拟器, 紫队演练