Rks-ranjith/active-directory-soc-lab
GitHub: Rks-ranjith/active-directory-soc-lab
一个自建的企业级 Active Directory 安全运营实验室,结合 Wazuh SIEM 和攻击模拟,帮助安全分析师练习威胁检测、告警调查与事件响应全流程。
Stars: 0 | Forks: 0
# Active Directory 威胁检测与 SIEM 监控实验室
一个自建的企业安全运营实验室,模拟真实的现代企业 Active Directory 环境 —— 包含完整的 Windows 域、端点遥测管道,以及用于检测、告警和调查映射到 MITRE ATT&CK 的真实攻击技术的 Wazuh SIEM。
## 架构


所有机器均作为虚拟机运行在两台物理主机上的 VMware Workstation Pro 中,通过隔离的仅主机 (host-only) VMware 子网 (`192.168.100.0/24`) 进行网络连接,除了在安装软件包期间,没有任何互联网出口。
## 环境
| 组件 | 技术 | IP 地址 | 角色 |
|---|---|---|---|
| 域控制器 | Windows Server 2022 | 192.168.100.10 | Active Directory, DNS, Kerberos |
| 工作站 1 | Windows 11 Enterprise | 192.168.100.20 | 加入域的端点 |
| 工作站 2 | Windows 11 Enterprise | 192.168.100.21 | 加入域的端点 |
| Linux 受害者 | Ubuntu 24.04 Desktop | 192.168.100.40 | 暴露的 SSH/Apache 服务 |
| SIEM | Wazuh 4.7.5 (Manager, Indexer, Dashboard) | 192.168.100.30 | 日志聚合、检测、告警 |
| 攻击者 | Kali Linux | 192.168.100.50 | 对手模拟 |
端点遥测通过所有 Windows 主机上的 **Sysmon**(SwiftOnSecurity 配置)捕获,并通过 Wazuh agent 转发到 Wazuh。所有主机都已加入域或与域相邻,以模拟现实中的小型企业网络。
## Active Directory 配置
- **域:** `corp.local`
- **组织单位:** IT, Finance, HR
- **标准用户:** `bob.finance`, `carol.hr`
- **特权用户:** `alice.admin` (Domain Admins)
- **服务账户:** `svc-backup` (注册了 SPN — 特意的 Kerberoasting 目标)
## Agent 覆盖范围

所有端点均实现了 100% 的 agent 覆盖。DC01 (192.168.100.10)、WIN11-01 (192.168.100.20) 和 WIN11-02 (192.168.100.21) 均在 Wazuh v4.7.5 上报告为活跃状态。除了原生的 Windows 安全事件日志 (Windows Security Event Log) 之外,每台 Windows 主机还传输 Sysmon 日志(进程创建、网络连接、文件事件)。
## 记录的攻击场景
| # | 技术 | MITRE ATT&CK ID | 是否检测到 | 分析报告 |
|---|---|---|---|---|
| 1 | 网络服务发现 (Nmap) | T1046 | ✅ 是 | [01-网络侦察](attack-scenarios/01-network-reconnaissance) |
| 2 | 密码喷射 / 暴力破解 | T1110.003 | ✅ 是 | [02-密码喷射](attack-scenarios/02-password-spray) |
| 3 | Kerberoasting | T1558.003 | ✅ 是 | [03-kerberoasting](attack-scenarios/03-kerberoasting) |
每个场景文件夹都包含从 Kali 运行的确切攻击者命令、生成的 Wazuh 告警、触发的规则,以及关于该技术为何有效及检测实际捕获内容的简短说明。
## MITRE ATT&CK 集成与 SIEM 仪表板
Wazuh 将摄入的端点安全事件实时直接映射到 MITRE ATT&CK 框架,为分析师提供环境中活跃战术和技术的可视化分解。
### 1. Active Directory 域控制器 (`DC01`) 安全事件
从 `DC01` 摄入了大量遥测数据,记录了 769 个安全事件,包括成功的登录和服务票据请求:

### 2. 工作站安全事件
域工作站 `WIN11-01` (105 个事件) 和 `WIN11-02` (126 个事件) 的仪表板,展示了跨企业网络的遥测收集情况:

*WIN11-01 端点遥测*

*WIN11-02 端点遥测*
### 3. MITRE ATT&CK 分诊矩阵
Wazuh MITRE ATT&CK 模块按战术对活跃检测进行分类,显示了在初始访问、持久化、权限提升、防御规避和横向移动方面的命中情况:

*战术分类和事件计数*

*显示实验室中触发的特定技术的矩阵视图*

*带有相关 MITRE ID(例如 T1078 Valid Accounts)的按时间顺序排列的事件源*
## 检测工程
以 **Sigma 格式**(供应商中立,可移植到 Splunk/Elastic/Wazuh)编写的自定义检测逻辑位于 [`detection-rules/`](detection-rules) 中。规则是针对此实验室中生成的实际攻击流量进行验证的,而非理论流量。
| 规则 | 技术 | 文件 |
|---|---|---|
| 通过 RC4 票据请求进行 Kerberoasting | T1558.003 | [kerberoasting.yml](detection-rules/kerberoasting.yml) |
| 通过重复的 SMB 登录失败进行密码喷射 | T1110.003 | [password-spray.yml](detection-rules/password-spray.yml) |
## 事件报告
[`incident-reports/`](incident-reports) 包含针对 Kerberoasting 场景的完整事件响应报告,其格式类似于 SOC 分析师记录真实调查的方式:时间线、证据、根本原因和修复建议。
- [INC-2026-003 — Kerberoasting (高危)](incident-reports/INC-2026-003-kerberoasting.md)
## 使用的工具
`Wazuh` · `Sysmon` · `VMware Workstation Pro` · `Nmap` · `CrackMapExec` · `Impacket` · `Hydra` · `BloodHound` · `Sigma` · `MITRE ATT&CK Navigator`
## 为何构建此项目
作为认证考试和自学实践的实用补充而构建 —— 旨在进入 SOC 分析师 / 蓝队角色之前,培养在 SIEM 操作、Active Directory 攻击路径和检测工程方面的动手熟悉度。
标签:Active Directory, AMSI绕过, CTI, Kerberoasting, Plaso, Wazuh, 威胁检测, 安全实验环境, 密码喷洒, 模拟器