cyb3rtaye/integrated-security-operations-lab

GitHub: cyb3rtaye/integrated-security-operations-lab

在受控实验室环境中构建端到端安全运营工作流,整合 Active Directory、Wazuh 检测工程、威胁情报富化、Tines 自动化和 Jira 案例管理,覆盖从攻击模拟到响应处置的完整闭环。

Stars: 1 | Forks: 0

# 综合安全运营实验室 ## 概述 本仓库记录了在受控的非生产环境中构建的综合安全运营环境。 该项目将企业身份、端点遥测、端点保护、检测工程、调查、情报富化、自动化和案例管理整合到一个工作流中: **攻击模拟 → 遥测 → 检测 → 调查 → 响应 → 自动化 → 案例管理** ## 实验室架构 | 系统 | 主机名 | 仅主机 IP | 功能 | |---|---|---:|---| | Windows Server 2025 | `DC01` | `192.168.56.30` | Active Directory 域服务、DNS 和 AD CS | | Windows 11 企业版 | `DESKTOP-QKT6LKD` | `192.168.56.20` | 加入域的受监控端点 | | Kali Linux | `kali` | `192.168.56.10` | 受控的对手模拟 | | Ubuntu Server | `wazuh-server` | `192.168.56.40` | Wazuh 管理器、索引器和仪表板 | 仅主机网络支持内部实验室通信。NAT 接口提供受控的出站访问。 ## 已实现的功能 - Active Directory、DNS 和加入域的端点部署 - Sysmon、PowerShell 和 Windows 安全日志记录 - Microsoft Defender 检测和修复验证 - Wazuh 部署、端点集成和事件接入 - 基于 ATT&CK 的检测和遥测验证 - 结构化的事件调查记录 - 指标富化和分析师决策支持 - SOAR 工作流设计和 Tines 实时接收验证 - 适配 Jira 的案例记录 ## 仓库导航 | 领域 | 描述 | |---|---| | [架构](architecture/) | 架构概述、网络设计和数据流 | | [Active Directory](active-directory-enterprise-lab/) | 身份、DNS 和域基础 | | [攻击模拟](attack-simulation/) | 受控的验证活动 | | [端点遥测](endpoint-telemetry/) | Sysmon 和 Windows 日志配置 | | [端点保护](endpoint-protection/) | Microsoft Defender 验证 | | [Wazuh 检测工程](detection-engineering-wazuh/) | 平台部署、接入和验证 | | [检测](detections/) | 检测映射和规则文档 | | [事件调查](incident-investigation-response/) | 结构化的调查案例 | | [威胁情报](threat-intelligence-enrichment/) | 指标情境化和富化 | | [SOAR 工作流设计](security-automation-soar-workflow/) | 自动化逻辑和 Tines 实施计划 | | [Tines 实施](automation-tines/) | 实时工作流状态 | | [案例管理](case-management-jira/) | 适配 Jira 的工单记录和追踪器 | | [证据](evidence/) | 原始验证输出 | | [截图](screenshots/) | 可视化证据 | ## 项目状态 | 功能 | 状态 | |---|---| | 架构和 Active Directory | 已完成 | | 端点遥测基线 | 已完成 | | Microsoft Defender 基线 | 已完成 | | Wazuh 部署和端点集成 | 已完成 | | 检测和调查案例 | 已完成并持续扩展中 | | 威胁情报富化基线 | 已完成 | | SOAR 工作流文档 | 已完成 | | Tines 实时工作流 | 进行中 | | 适配 Jira 的案例记录 | 已完成 | | Jira 实时集成 | 已计划 | | AWS 云安全 | 已计划 | | 取证调查 | 已计划 | | DevSecOps 容器安全 | 已计划 | | Agentic AI 安全 | 已计划 | ## 证据标准 声明均有命令输出、配置记录、事件数据、警报、截图和分析师笔记作为支持。除非活动、事件源和检测规则均已通过验证,否则遥测可见性不会被描述为已确认的检测。 ## 安全范围 所有测试均限于受控的非生产实验室。 凭据、API 密钥、webhook URL 和其他机密信息均已被排除或脱敏处理。
标签:Active Directory, IP 地址批量处理, Plaso, SOAR, Terraform 安全, Wazuh, 安全实验环境, 安全运营, 扫描框架, 端点安全, 补丁管理