Rks-ranjith/active-directory-soc-lab

GitHub: Rks-ranjith/active-directory-soc-lab

一个自建的企业级 Active Directory 安全运营实验室,结合 Wazuh SIEM 和攻击模拟,帮助安全分析师练习威胁检测、告警调查与事件响应全流程。

Stars: 0 | Forks: 0

# Active Directory 威胁检测与 SIEM 监控实验室 一个自建的企业安全运营实验室,模拟真实的现代企业 Active Directory 环境 —— 包含完整的 Windows 域、端点遥测管道,以及用于检测、告警和调查映射到 MITRE ATT&CK 的真实攻击技术的 Wazuh SIEM。 ## 架构 ![VMware 实验室 — 所有 5 台虚拟机运行中](https://static.pigsec.cn/wp-content/uploads/repos/cas/9c/9c558629f88f46ae6468dba138d43abd53c27275d0ccfde302649f64830ebd26.webp) ![Wazuh SIEM 仪表板概览](https://static.pigsec.cn/wp-content/uploads/repos/cas/df/df9cd035b75e7158b4fd0d03467e43d3e4d256141a2e1a3c3aa55bedb976c95b.webp) 所有机器均作为虚拟机运行在两台物理主机上的 VMware Workstation Pro 中,通过隔离的仅主机 (host-only) VMware 子网 (`192.168.100.0/24`) 进行网络连接,除了在安装软件包期间,没有任何互联网出口。 ## 环境 | 组件 | 技术 | IP 地址 | 角色 | |---|---|---|---| | 域控制器 | Windows Server 2022 | 192.168.100.10 | Active Directory, DNS, Kerberos | | 工作站 1 | Windows 11 Enterprise | 192.168.100.20 | 加入域的端点 | | 工作站 2 | Windows 11 Enterprise | 192.168.100.21 | 加入域的端点 | | Linux 受害者 | Ubuntu 24.04 Desktop | 192.168.100.40 | 暴露的 SSH/Apache 服务 | | SIEM | Wazuh 4.7.5 (Manager, Indexer, Dashboard) | 192.168.100.30 | 日志聚合、检测、告警 | | 攻击者 | Kali Linux | 192.168.100.50 | 对手模拟 | 端点遥测通过所有 Windows 主机上的 **Sysmon**(SwiftOnSecurity 配置)捕获,并通过 Wazuh agent 转发到 Wazuh。所有主机都已加入域或与域相邻,以模拟现实中的小型企业网络。 ## Active Directory 配置 - **域:** `corp.local` - **组织单位:** IT, Finance, HR - **标准用户:** `bob.finance`, `carol.hr` - **特权用户:** `alice.admin` (Domain Admins) - **服务账户:** `svc-backup` (注册了 SPN — 特意的 Kerberoasting 目标) ## Agent 覆盖范围 ![Wazuh Agents — 100% 覆盖 (DC01, WIN11-01, WIN11-02 均为活跃状态)](https://static.pigsec.cn/wp-content/uploads/repos/cas/6e/6e7bbad7e6ebeba3da6ef2bf0fb169d9936fae004fa44eebc5cc7e67d1f7212b.webp) 所有端点均实现了 100% 的 agent 覆盖。DC01 (192.168.100.10)、WIN11-01 (192.168.100.20) 和 WIN11-02 (192.168.100.21) 均在 Wazuh v4.7.5 上报告为活跃状态。除了原生的 Windows 安全事件日志 (Windows Security Event Log) 之外,每台 Windows 主机还传输 Sysmon 日志(进程创建、网络连接、文件事件)。 ## 记录的攻击场景 | # | 技术 | MITRE ATT&CK ID | 是否检测到 | 分析报告 | |---|---|---|---|---| | 1 | 网络服务发现 (Nmap) | T1046 | ✅ 是 | [01-网络侦察](attack-scenarios/01-network-reconnaissance) | | 2 | 密码喷射 / 暴力破解 | T1110.003 | ✅ 是 | [02-密码喷射](attack-scenarios/02-password-spray) | | 3 | Kerberoasting | T1558.003 | ✅ 是 | [03-kerberoasting](attack-scenarios/03-kerberoasting) | 每个场景文件夹都包含从 Kali 运行的确切攻击者命令、生成的 Wazuh 告警、触发的规则,以及关于该技术为何有效及检测实际捕获内容的简短说明。 ## MITRE ATT&CK 集成与 SIEM 仪表板 Wazuh 将摄入的端点安全事件实时直接映射到 MITRE ATT&CK 框架,为分析师提供环境中活跃战术和技术的可视化分解。 ### 1. Active Directory 域控制器 (`DC01`) 安全事件 从 `DC01` 摄入了大量遥测数据,记录了 769 个安全事件,包括成功的登录和服务票据请求: ![Wazuh DC01 安全事件仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/de/de2fe265cbccc6eba558e500f3a7a4232b118031d6cb49ae2e89ddd1bbd1ee82.png) ### 2. 工作站安全事件 域工作站 `WIN11-01` (105 个事件) 和 `WIN11-02` (126 个事件) 的仪表板,展示了跨企业网络的遥测收集情况: ![Wazuh WIN11-01 安全事件仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/81/81134aa521a589f568267787d2ab3498dc0f557bf30755238c01a72299f90767.png) *WIN11-01 端点遥测* ![Wazuh WIN11-02 安全事件仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/6a/6a1af15e1f0bb336c825b04577042699782def5531a1fc3b709753aff3cada27.png) *WIN11-02 端点遥测* ### 3. MITRE ATT&CK 分诊矩阵 Wazuh MITRE ATT&CK 模块按战术对活跃检测进行分类,显示了在初始访问、持久化、权限提升、防御规避和横向移动方面的命中情况: ![Wazuh MITRE ATT&CK 仪表板](https://static.pigsec.cn/wp-content/uploads/repos/cas/b2/b2dc69548ff173edcf5c7055c0b4adc87d5c317127a4c8134fdbd3210b44b456.png) *战术分类和事件计数* ![Wazuh MITRE ATT&CK 框架矩阵视图](https://static.pigsec.cn/wp-content/uploads/repos/cas/c9/c9dce3d69771b218007c04a1e245bb55d0aeb37f0b5645408793c9ea43d8f2dd.png) *显示实验室中触发的特定技术的矩阵视图* ![Wazuh MITRE ATT&CK 事件列表](https://static.pigsec.cn/wp-content/uploads/repos/cas/01/01f0e803aa0cf65380322fe7f71c45267ef418e95ecb13f804322776958e8c9f.png) *带有相关 MITRE ID(例如 T1078 Valid Accounts)的按时间顺序排列的事件源* ## 检测工程 以 **Sigma 格式**(供应商中立,可移植到 Splunk/Elastic/Wazuh)编写的自定义检测逻辑位于 [`detection-rules/`](detection-rules) 中。规则是针对此实验室中生成的实际攻击流量进行验证的,而非理论流量。 | 规则 | 技术 | 文件 | |---|---|---| | 通过 RC4 票据请求进行 Kerberoasting | T1558.003 | [kerberoasting.yml](detection-rules/kerberoasting.yml) | | 通过重复的 SMB 登录失败进行密码喷射 | T1110.003 | [password-spray.yml](detection-rules/password-spray.yml) | ## 事件报告 [`incident-reports/`](incident-reports) 包含针对 Kerberoasting 场景的完整事件响应报告,其格式类似于 SOC 分析师记录真实调查的方式:时间线、证据、根本原因和修复建议。 - [INC-2026-003 — Kerberoasting (高危)](incident-reports/INC-2026-003-kerberoasting.md) ## 使用的工具 `Wazuh` · `Sysmon` · `VMware Workstation Pro` · `Nmap` · `CrackMapExec` · `Impacket` · `Hydra` · `BloodHound` · `Sigma` · `MITRE ATT&CK Navigator` ## 为何构建此项目 作为认证考试和自学实践的实用补充而构建 —— 旨在进入 SOC 分析师 / 蓝队角色之前,培养在 SIEM 操作、Active Directory 攻击路径和检测工程方面的动手熟悉度。
标签:Active Directory, AMSI绕过, CTI, Kerberoasting, Plaso, Wazuh, 威胁检测, 安全实验环境, 密码喷洒, 模拟器