rohithbaggu56-dot/Enterprise-Active-Directory-SOC-Lab

GitHub: rohithbaggu56-dot/Enterprise-Active-Directory-SOC-Lab

这是一个企业级 Active Directory 安全运营实验环境,集成了 Wazuh SIEM 用于模拟、检测和调查常见的 AD 攻击技术并进行 MITRE ATT&CK 映射。

Stars: 0 | Forks: 0

# 企业级 Active Directory SOC 实验环境

![Platform](https://img.shields.io/badge/Platform-VirtualBox-blue?style=for-the-badge) ![Windows Server](https://img.shields.io/badge/Windows_Server-2022-0078D6?style=for-the-badge) ![Windows 10](https://img.shields.io/badge/Windows-10-0078D6?style=for-the-badge) ![Ubuntu](https://img.shields.io/badge/Ubuntu-22.04-E95420?style=for-the-badge) ![Wazuh](https://img.shields.io/badge/SIEM-Wazuh-0265A1?style=for-the-badge) ![Sysmon](https://img.shields.io/badge/Sysmon-Enabled-success?style=for-the-badge) ![PowerShell](https://img.shields.io/badge/PowerShell-Automation-5391FE?style=for-the-badge)

## 📌 项目概述 本项目展示了一个小型企业 Active Directory 环境的设计、部署、监控和安全验证。该实验环境模拟了真实的 Windows 域,包含域控服务器、Windows 客户端、Linux 攻击机,以及用于安全监控和威胁狩猎的集中式 Wazuh SIEM 平台。 该项目的目标不仅是构建一个 Active Directory 环境,更是为了深入了解常见的攻击技术如何生成遥测数据、SIEM 如何检测这些活动,以及防御者如何使用 MITRE ATT&CK 映射和威胁狩猎工作流对其进行调查。 在整个项目中,我部署了 Active Directory 服务,配置了企业用户和安全组,将 Windows 日志记录与 Wazuh 和 Sysmon 集成,模拟了源自 Kali Linux 的多种 Active Directory 攻击,并通过 Wazuh 仪表板和事件分析对生成的告警进行了调查。 # 🎯 目标 - 从零开始构建一个功能完整的 Active Directory 域 - 配置企业用户、组和服务账户 - 将 Windows 终端加入域 - 将 Windows 事件日志与 Wazuh SIEM 集成 - 部署 Sysmon 以增强终端可见性 - 模拟常见的 Active Directory 攻击技术 - 使用 MITRE ATT&CK 映射检测攻击活动 - 使用集中式遥测数据进行威胁狩猎 - 获得企业环境监控和调查的 SOC 分析师实战经验 # 🏗️ 实验架构 该实验环境包含一台 Windows Server 2022 域控服务器、一台加入域的 Windows 10 工作站、一台 Kali Linux 攻击机,以及一台运行 Wazuh 用于集中监控的 Ubuntu 服务器。

# 🖥️ 实验环境 | 组件 | 用途 | |-----------|----------| | Windows Server 2022 | Active Directory 域控服务器 | | Windows 10 | 加入域的企业工作站 | | Ubuntu Server | Wazuh SIEM 管理节点 | | Kali Linux | 攻击模拟机 | | Sysmon | 终端遥测数据收集 | | Wazuh Agent | 日志转发和监控 | | PowerShell | Active Directory 自动化 | | VirtualBox | 虚拟化平台 | # 🛠️ 使用的技术 | 类别 | 技术 | |-----------|--------------| | 操作系统 | Windows Server 2022, Windows 10, Ubuntu Server, Kali Linux | | 身份验证 | Active Directory Domain Services | | SIEM | Wazuh | | 终端监控 | Sysmon | | 日志记录 | Windows 事件日志 | | 脚本编写 | PowerShell | | 攻击工具 | NetExec, Impacket | | 检测框架 | MITRE ATT&CK | # 📁 仓库结构 ``` Enterprise-Active-Directory-SOC-Lab │ ├── README.md │ ├── images │ ├── architecture │ ├── ad-installation │ ├── active-directory │ ├── attacks │ └── wazuh │ └── scripts ``` # 📖 项目工作流 本实验遵循了 SOC 分析师在企业环境中会遇到的相同生命周期: 1. 构建 Active Directory 2. 配置企业用户和组 3. 部署 Windows 终端 4. 配置集中式日志记录 5. 集成 Wazuh 和 Sysmon 6. 模拟 Active Directory 攻击 7. 检测恶意活动 8. 使用 Wazuh 调查告警 9. 将检测结果映射到 MITRE ATT&CK 10. 执行威胁狩猎 # ⚙️ Active Directory 部署 项目的第一阶段重点是构建一个功能完备的 Active Directory 环境,以支持企业级身份验证、集中式身份管理和攻击模拟。 ## Windows 10 加入域 Windows 10 工作站已成功加入 `corp.local` 域,实现了集中式身份验证和组策略管理。

# 👥 企业级配置 为了更好地模拟真实的企业环境,我们创建了多个组织单位 (OU)、用户、安全组和服务账户,而不是单纯依赖默认的 Active Directory 对象。 这种结构使攻击模拟和检测变得更加逼真,同时也展示了系统管理员常执行的典型 Active Directory 管理任务。 ## 安全组 我们创建了基于角色的安全组,以代表组织内的不同部门和管理团队。 示例包括: - Finance_Users - HR_Users - IT_Users - IT_Admins - Sales_Users - Server_Admins - Workstation_Admins

## 用户账户配置 为用户账户配置了相应的登录名并进行了组织层面的分配,以在 Active Directory 环境中模拟企业用户。

## PowerShell 自动化 使用 PowerShell 自动化快速配置了用户、组和服务账户,减少了手动配置的工作量,这也反映了管理员管理大型企业环境的常见做法。

## 服务账户配置 创建了一个专用的 SQL 服务账户并为其分配了服务主体名称 (SPN)。这种故意留下的脆弱配置稍后将用于演示和检测 Kerberoasting 攻击。

## AS-REP Roastable 账户配置 配置了一个单独的用户账户,并禁用了其 Kerberos 预身份验证。这使得该环境能够模拟 AS-REP Roasting 攻击,并验证 Wazuh 中相应的检测规则。

# ✅ Active Directory 部署总结 在此阶段结束时,实验环境包含: | 组件 | 状态 | |-----------|--------| | Active Directory Domain Services | ✅ 已部署 | | 域控服务器 | ✅ 已配置 | | Windows 10 加入域 | ✅ 已完成 | | 组织单位 | ✅ 已创建 | | 企业用户 | ✅ 已创建 | | 安全组 | ✅ 已配置 | | 服务账户 | ✅ 已配置 | | PowerShell 自动化 | ✅ 已实现 | 这提供了一个逼真的企业级环境,为项目后续阶段的攻击模拟、安全监控和威胁狩猎奠定了基础。 # 🛡️ Wazuh 集成 为了提供对 Windows 活动的集中式可见性,域控服务器已与 Wazuh 集成。Wazuh agent 被配置为收集 Windows 安全、系统、应用程序和 Sysmon 日志,从而能够详细监控身份验证事件、进程创建、账户管理以及 Active Directory 活动。 这种集成将实验环境从一个传统的 Active Directory 部署转变为一个能够检测和调查恶意行为的安全运营中心 (SOC) 环境。 ## Wazuh Agent 配置 在域控服务器上配置了 Wazuh agent,以监控多个 Windows 日志源,为威胁检测和调查提供全面的遥测数据。

# ⚔️ Active Directory 攻击模拟 在完成 Active Directory 部署后,从 Kali Linux 机器上执行了多种攻击技术,以验证检测能力并生成真实的安全事件。 这些攻击是在隔离的实验环境中出于教育和防御目的进行的。 ## 模拟的攻击技术 | 攻击技术 | 目的 | |------------------|---------| | SMB 用户枚举 | 通过 SMB 身份验证枚举域用户 | | SMB 共享枚举 | 发现可访问的网络共享 | | Kerberoasting | 请求 Kerberos 服务票据以进行离线密码破解 | | AS-REP Roasting | 从易受攻击的用户账户中提取 AS-REP 哈希 | | 账户枚举 | 识别域内的用户和服务账户 | ## SMB 用户枚举 使用 NetExec 对域控服务器进行身份验证,并枚举 Active Directory 用户账户。

## SMB 共享枚举 成功枚举了可访问的 SMB 共享,包括诸如 `NETLOGON` 和 `SYSVOL` 之类的管理和域共享。

## Kerberoasting 攻击 使用 Impacket 的 `GetUserSPNs` 工具为已配置的 SQL 服务账户请求服务票据。这模拟了攻击者常用来获取 Kerberos 服务票据以进行离线密码破解的 Kerberoasting 技术。

## AS-REP Roasting 攻击 使用 Impacket 的 `GetNPUsers` 工具针对未配置 Kerberos 预身份验证的用户账户进行攻击,演示了 AS-REP Roasting 技术,并生成了用于后续分析的身份验证事件。

# 🎯 攻击验证总结 攻击模拟成功生成了真实的安全事件,这些事件被 Wazuh 收集,随后通过仪表板、威胁狩猎和 MITRE ATT&CK 映射进行了分析。 | 技术 | 结果 | |-----------|--------| | SMB 用户枚举 | ✅ 成功 | | SMB 共享枚举 | ✅ 成功 | | Kerberoasting | ✅ 成功 | | AS-REP Roasting | ✅ 成功 | | Windows 身份验证事件 | ✅ 已收集 | | Wazuh 检测 | ✅ 已验证 | # 📊 检测与监控 在攻击模拟之后,Wazuh 收集并关联了由域控服务器生成的 Windows 安全事件和 Sysmon 事件。该平台提供了对身份验证活动、账户管理、进程执行和 Active Directory 事件的集中式可见性。 使用 Wazuh 仪表板和事件分析,可以验证模拟攻击是否生成了有意义的遥测数据,并将观察到的行为映射到 MITRE ATT&CK 框架。 # 🧠 MITRE ATT&CK 仪表板 MITRE ATT&CK 仪表板概述了在环境中观察到的对手技术。Wazuh 自动将相关事件映射到 ATT&CK 技术,有助于识别攻击者行为,而不仅仅是孤立的日志条目。

关键观察结果: - 对检测到的技术的集中式可见性 - 安全事件的 MITRE ATT&CK 映射 - 受监控环境中的技术分布 - 在调查期间改善分析师上下文 # 🔍 威胁狩猎仪表板 威胁狩猎仪表板为分析师提供了关于终端活动、身份验证事件、告警和受监控系统的高级视图。 该仪表板是调查可疑行为的起点,随后再深入进行详细的事件分析。

关键观察结果: - 身份验证活动 - 终端可见性 - 告警趋势 - 事件分布 - 受监控的主机 # 🚨 MITRE ATT&CK 事件调查 通过 MITRE ATT&CK 事件视图审查了在攻击模拟期间生成的各个安全事件。 这使得每个检测结果都能与相关的 ATT&CK 技术进行关联,从而更容易理解攻击者行为并验证检测覆盖率。

mitre-attack-events-day-02

观察到的活动示例包括: - 账户发现 - PowerShell 执行 - Windows 身份验证事件 - Active Directory 枚举 - Kerberos 相关活动 # 🕵️ 威胁狩猎调查 使用 Wazuh 的威胁狩猎界面进行了详细的事件分析,允许对安全事件进行过滤、审查以及随时间推移的关联。

threat-hunting-events-day-02

调查过程重点关注: - 身份验证事件 - 用户活动 - 进程执行 - 安全告警 - Windows 事件关联 # 🔐 身份验证监控 审查了在整个攻击模拟期间生成的与身份验证相关的事件,以验证日志收集是否成功并识别可疑的身份验证模式。

threat-hunting-events-day-03

观察到的身份验证活动包括: - 成功的登录 - 失败的登录 - NTLM 身份验证 - 匿名登录 - Windows 安全事件 # 🧩 观察到的 MITRE ATT&CK 技术 | MITRE 技术 | ID | |-----------------|----| | Account Discovery | T1087 | | Group Discovery | T1069 | | PowerShell | T1059.001 | | Remote System Discovery | T1018 | | Valid Accounts | T1078 | | Kerberoasting | T1558.003 | | AS-REP Roasting | T1558.004 | | Network Share Discovery | T1135 | # 📈 检测亮点 在整个项目中,Wazuh 成功收集了在攻击生命周期各个阶段生成的遥测数据。 本实验中展示的检测能力包括: - Windows 安全事件监控 - Sysmon 事件收集 - Active Directory 账户监控 - 身份验证监控 - MITRE ATT&CK 映射 - 威胁狩猎工作流 - 终端遥测数据收集 - 安全事件关联 - 集中式日志分析 这些检测结果证实,模拟的攻击活动已被成功捕获,并可通过集中 SOC 工作流进行调查。 # 💡 展示的技能 该项目提供了 SOC 分析师和安全管理员常执行的多种蓝队和 Active Directory 管理任务的实操经验。 ### Active Directory ### 安全运营 - Wazuh SIEM 管理 - Sysmon 配置 - Windows 事件日志收集 - 威胁狩猎 - 告警调查 - 安全事件关联 - 终端监控 - 日志分析 ### 攻击模拟 - SMB 枚举 - 用户枚举 - 共享枚举 - Kerberoasting - AS-REP Roasting - Active Directory 侦察 - 身份验证分析 ### 安全框架 - MITRE ATT&CK - Windows 安全日志记录 - 安全监控 - 检测工程基础 # 📚 关键要点 构建此实验环境提供了超越单纯部署 Active Directory 的实践经验。 一些最有价值的经验包括: - 了解企业身份基础架构是如何构建和管理的。 - 学习攻击者如何枚举和滥用 Active Directory 环境。 - 使用 Wazuh 和 Sysmon 配置集中式日志收集。 - 将攻击技术映射到 MITRE ATT&CK 框架。 - 从防御者的角度调查身份验证事件和安全遥测数据。 - 获得 Windows 管理和安全运营 (Security Operations) 工作流的双重经验。 该项目加深了我对 Active Directory 管理、终端监控和威胁检测如何在现代 SOC 环境中协同工作的理解。 # 🚀 未来改进 本实验环境未来可能的增强功能包括: - 部署额外的 Windows 客户端系统 - 配置组策略对象 (GPO) - 模拟横向移动场景 - 集成 Microsoft Sentinel 进行多 SIEM 监控 - 执行 BloodHound Active Directory 分析 - 模拟勒索软件行为以进行检测测试 - 扩展 PowerShell 自动化以配置用户 - 添加 Sigma 规则用于自定义检测 - 为额外的 Active Directory 攻击技术制定 Wazuh 检测规则 # 📂 项目总结 | 类别 | 详细信息 | |----------|----------| | 环境 | Windows Server 2022, Windows 10, Ubuntu Server, Kali Linux | | 身份平台 | Active Directory Domain Services | | SIEM | Wazuh | | 终端监控 | Sysmon | | 自动化 | PowerShell | | 攻击工具 | NetExec, Impacket | | 检测框架 | MITRE ATT&CK | | 虚拟化 | VirtualBox | # 🎯 SOC 岗位核心技能亮点 - Active Directory 管理 - Windows Server 管理 - 安全监控 - 威胁狩猎 - SIEM 操作 - 终端可见性 - Windows 事件分析 - MITRE ATT&CK 映射 - 身份验证分析 - 日志关联 - 事件调查 - 蓝队基础 ## 🤝 与我联系 如果您想讨论这个项目或进行职业上的联系,请随时与我取得联系。 - [**LinkedIn**](https://www.linkedin.com/in/rohithbaggu/) - [**TryHackMe**](https://tryhackme.com/p/rohithbaggu56) ## ⭐ 如果您觉得这个项目有帮助 如果您觉得这个仓库有用或有趣,请考虑给它点个 ⭐。 随时欢迎反馈和建议。
标签:AI合规