这是一个企业级 Active Directory 安全运营实验环境,集成了 Wazuh SIEM 用于模拟、检测和调查常见的 AD 攻击技术并进行 MITRE ATT&CK 映射。
# 企业级 Active Directory SOC 实验环境







## 📌 项目概述
本项目展示了一个小型企业 Active Directory 环境的设计、部署、监控和安全验证。该实验环境模拟了真实的 Windows 域,包含域控服务器、Windows 客户端、Linux 攻击机,以及用于安全监控和威胁狩猎的集中式 Wazuh SIEM 平台。
该项目的目标不仅是构建一个 Active Directory 环境,更是为了深入了解常见的攻击技术如何生成遥测数据、SIEM 如何检测这些活动,以及防御者如何使用 MITRE ATT&CK 映射和威胁狩猎工作流对其进行调查。
在整个项目中,我部署了 Active Directory 服务,配置了企业用户和安全组,将 Windows 日志记录与 Wazuh 和 Sysmon 集成,模拟了源自 Kali Linux 的多种 Active Directory 攻击,并通过 Wazuh 仪表板和事件分析对生成的告警进行了调查。
# 🎯 目标
- 从零开始构建一个功能完整的 Active Directory 域
- 配置企业用户、组和服务账户
- 将 Windows 终端加入域
- 将 Windows 事件日志与 Wazuh SIEM 集成
- 部署 Sysmon 以增强终端可见性
- 模拟常见的 Active Directory 攻击技术
- 使用 MITRE ATT&CK 映射检测攻击活动
- 使用集中式遥测数据进行威胁狩猎
- 获得企业环境监控和调查的 SOC 分析师实战经验
# 🏗️ 实验架构
该实验环境包含一台 Windows Server 2022 域控服务器、一台加入域的 Windows 10 工作站、一台 Kali Linux 攻击机,以及一台运行 Wazuh 用于集中监控的 Ubuntu 服务器。
# 🖥️ 实验环境
| 组件 | 用途 |
|-----------|----------|
| Windows Server 2022 | Active Directory 域控服务器 |
| Windows 10 | 加入域的企业工作站 |
| Ubuntu Server | Wazuh SIEM 管理节点 |
| Kali Linux | 攻击模拟机 |
| Sysmon | 终端遥测数据收集 |
| Wazuh Agent | 日志转发和监控 |
| PowerShell | Active Directory 自动化 |
| VirtualBox | 虚拟化平台 |
# 🛠️ 使用的技术
| 类别 | 技术 |
|-----------|--------------|
| 操作系统 | Windows Server 2022, Windows 10, Ubuntu Server, Kali Linux |
| 身份验证 | Active Directory Domain Services |
| SIEM | Wazuh |
| 终端监控 | Sysmon |
| 日志记录 | Windows 事件日志 |
| 脚本编写 | PowerShell |
| 攻击工具 | NetExec, Impacket |
| 检测框架 | MITRE ATT&CK |
# 📁 仓库结构
```
Enterprise-Active-Directory-SOC-Lab
│
├── README.md
│
├── images
│ ├── architecture
│ ├── ad-installation
│ ├── active-directory
│ ├── attacks
│ └── wazuh
│
└── scripts
```
# 📖 项目工作流
本实验遵循了 SOC 分析师在企业环境中会遇到的相同生命周期:
1. 构建 Active Directory
2. 配置企业用户和组
3. 部署 Windows 终端
4. 配置集中式日志记录
5. 集成 Wazuh 和 Sysmon
6. 模拟 Active Directory 攻击
7. 检测恶意活动
8. 使用 Wazuh 调查告警
9. 将检测结果映射到 MITRE ATT&CK
10. 执行威胁狩猎
# ⚙️ Active Directory 部署
项目的第一阶段重点是构建一个功能完备的 Active Directory 环境,以支持企业级身份验证、集中式身份管理和攻击模拟。
## Windows 10 加入域
Windows 10 工作站已成功加入 `corp.local` 域,实现了集中式身份验证和组策略管理。
# 👥 企业级配置
为了更好地模拟真实的企业环境,我们创建了多个组织单位 (OU)、用户、安全组和服务账户,而不是单纯依赖默认的 Active Directory 对象。
这种结构使攻击模拟和检测变得更加逼真,同时也展示了系统管理员常执行的典型 Active Directory 管理任务。
## 安全组
我们创建了基于角色的安全组,以代表组织内的不同部门和管理团队。
示例包括:
- Finance_Users
- HR_Users
- IT_Users
- IT_Admins
- Sales_Users
- Server_Admins
- Workstation_Admins
## 用户账户配置
为用户账户配置了相应的登录名并进行了组织层面的分配,以在 Active Directory 环境中模拟企业用户。
## PowerShell 自动化
使用 PowerShell 自动化快速配置了用户、组和服务账户,减少了手动配置的工作量,这也反映了管理员管理大型企业环境的常见做法。
## 服务账户配置
创建了一个专用的 SQL 服务账户并为其分配了服务主体名称 (SPN)。这种故意留下的脆弱配置稍后将用于演示和检测 Kerberoasting 攻击。
## AS-REP Roastable 账户配置
配置了一个单独的用户账户,并禁用了其 Kerberos 预身份验证。这使得该环境能够模拟 AS-REP Roasting 攻击,并验证 Wazuh 中相应的检测规则。
# ✅ Active Directory 部署总结
在此阶段结束时,实验环境包含:
| 组件 | 状态 |
|-----------|--------|
| Active Directory Domain Services | ✅ 已部署 |
| 域控服务器 | ✅ 已配置 |
| Windows 10 加入域 | ✅ 已完成 |
| 组织单位 | ✅ 已创建 |
| 企业用户 | ✅ 已创建 |
| 安全组 | ✅ 已配置 |
| 服务账户 | ✅ 已配置 |
| PowerShell 自动化 | ✅ 已实现 |
这提供了一个逼真的企业级环境,为项目后续阶段的攻击模拟、安全监控和威胁狩猎奠定了基础。
# 🛡️ Wazuh 集成
为了提供对 Windows 活动的集中式可见性,域控服务器已与 Wazuh 集成。Wazuh agent 被配置为收集 Windows 安全、系统、应用程序和 Sysmon 日志,从而能够详细监控身份验证事件、进程创建、账户管理以及 Active Directory 活动。
这种集成将实验环境从一个传统的 Active Directory 部署转变为一个能够检测和调查恶意行为的安全运营中心 (SOC) 环境。
## Wazuh Agent 配置
在域控服务器上配置了 Wazuh agent,以监控多个 Windows 日志源,为威胁检测和调查提供全面的遥测数据。
# ⚔️ Active Directory 攻击模拟
在完成 Active Directory 部署后,从 Kali Linux 机器上执行了多种攻击技术,以验证检测能力并生成真实的安全事件。
这些攻击是在隔离的实验环境中出于教育和防御目的进行的。
## 模拟的攻击技术
| 攻击技术 | 目的 |
|------------------|---------|
| SMB 用户枚举 | 通过 SMB 身份验证枚举域用户 |
| SMB 共享枚举 | 发现可访问的网络共享 |
| Kerberoasting | 请求 Kerberos 服务票据以进行离线密码破解 |
| AS-REP Roasting | 从易受攻击的用户账户中提取 AS-REP 哈希 |
| 账户枚举 | 识别域内的用户和服务账户 |
## SMB 用户枚举
使用 NetExec 对域控服务器进行身份验证,并枚举 Active Directory 用户账户。
## SMB 共享枚举
成功枚举了可访问的 SMB 共享,包括诸如 `NETLOGON` 和 `SYSVOL` 之类的管理和域共享。
## Kerberoasting 攻击
使用 Impacket 的 `GetUserSPNs` 工具为已配置的 SQL 服务账户请求服务票据。这模拟了攻击者常用来获取 Kerberos 服务票据以进行离线密码破解的 Kerberoasting 技术。
## AS-REP Roasting 攻击
使用 Impacket 的 `GetNPUsers` 工具针对未配置 Kerberos 预身份验证的用户账户进行攻击,演示了 AS-REP Roasting 技术,并生成了用于后续分析的身份验证事件。
# 🎯 攻击验证总结
攻击模拟成功生成了真实的安全事件,这些事件被 Wazuh 收集,随后通过仪表板、威胁狩猎和 MITRE ATT&CK 映射进行了分析。
| 技术 | 结果 |
|-----------|--------|
| SMB 用户枚举 | ✅ 成功 |
| SMB 共享枚举 | ✅ 成功 |
| Kerberoasting | ✅ 成功 |
| AS-REP Roasting | ✅ 成功 |
| Windows 身份验证事件 | ✅ 已收集 |
| Wazuh 检测 | ✅ 已验证 |
# 📊 检测与监控
在攻击模拟之后,Wazuh 收集并关联了由域控服务器生成的 Windows 安全事件和 Sysmon 事件。该平台提供了对身份验证活动、账户管理、进程执行和 Active Directory 事件的集中式可见性。
使用 Wazuh 仪表板和事件分析,可以验证模拟攻击是否生成了有意义的遥测数据,并将观察到的行为映射到 MITRE ATT&CK 框架。
# 🧠 MITRE ATT&CK 仪表板
MITRE ATT&CK 仪表板概述了在环境中观察到的对手技术。Wazuh 自动将相关事件映射到 ATT&CK 技术,有助于识别攻击者行为,而不仅仅是孤立的日志条目。
关键观察结果:
- 对检测到的技术的集中式可见性
- 安全事件的 MITRE ATT&CK 映射
- 受监控环境中的技术分布
- 在调查期间改善分析师上下文
# 🔍 威胁狩猎仪表板
威胁狩猎仪表板为分析师提供了关于终端活动、身份验证事件、告警和受监控系统的高级视图。
该仪表板是调查可疑行为的起点,随后再深入进行详细的事件分析。
关键观察结果:
- 身份验证活动
- 终端可见性
- 告警趋势
- 事件分布
- 受监控的主机
# 🚨 MITRE ATT&CK 事件调查
通过 MITRE ATT&CK 事件视图审查了在攻击模拟期间生成的各个安全事件。
这使得每个检测结果都能与相关的 ATT&CK 技术进行关联,从而更容易理解攻击者行为并验证检测覆盖率。
观察到的活动示例包括:
- 账户发现
- PowerShell 执行
- Windows 身份验证事件
- Active Directory 枚举
- Kerberos 相关活动
# 🕵️ 威胁狩猎调查
使用 Wazuh 的威胁狩猎界面进行了详细的事件分析,允许对安全事件进行过滤、审查以及随时间推移的关联。
调查过程重点关注:
- 身份验证事件
- 用户活动
- 进程执行
- 安全告警
- Windows 事件关联
# 🔐 身份验证监控
审查了在整个攻击模拟期间生成的与身份验证相关的事件,以验证日志收集是否成功并识别可疑的身份验证模式。
观察到的身份验证活动包括:
- 成功的登录
- 失败的登录
- NTLM 身份验证
- 匿名登录
- Windows 安全事件
# 🧩 观察到的 MITRE ATT&CK 技术
| MITRE 技术 | ID |
|-----------------|----|
| Account Discovery | T1087 |
| Group Discovery | T1069 |
| PowerShell | T1059.001 |
| Remote System Discovery | T1018 |
| Valid Accounts | T1078 |
| Kerberoasting | T1558.003 |
| AS-REP Roasting | T1558.004 |
| Network Share Discovery | T1135 |
# 📈 检测亮点
在整个项目中,Wazuh 成功收集了在攻击生命周期各个阶段生成的遥测数据。
本实验中展示的检测能力包括:
- Windows 安全事件监控
- Sysmon 事件收集
- Active Directory 账户监控
- 身份验证监控
- MITRE ATT&CK 映射
- 威胁狩猎工作流
- 终端遥测数据收集
- 安全事件关联
- 集中式日志分析
这些检测结果证实,模拟的攻击活动已被成功捕获,并可通过集中 SOC 工作流进行调查。
# 💡 展示的技能
该项目提供了 SOC 分析师和安全管理员常执行的多种蓝队和 Active Directory 管理任务的实操经验。
### Active Directory
### 安全运营
- Wazuh SIEM 管理
- Sysmon 配置
- Windows 事件日志收集
- 威胁狩猎
- 告警调查
- 安全事件关联
- 终端监控
- 日志分析
### 攻击模拟
- SMB 枚举
- 用户枚举
- 共享枚举
- Kerberoasting
- AS-REP Roasting
- Active Directory 侦察
- 身份验证分析
### 安全框架
- MITRE ATT&CK
- Windows 安全日志记录
- 安全监控
- 检测工程基础
# 📚 关键要点
构建此实验环境提供了超越单纯部署 Active Directory 的实践经验。
一些最有价值的经验包括:
- 了解企业身份基础架构是如何构建和管理的。
- 学习攻击者如何枚举和滥用 Active Directory 环境。
- 使用 Wazuh 和 Sysmon 配置集中式日志收集。
- 将攻击技术映射到 MITRE ATT&CK 框架。
- 从防御者的角度调查身份验证事件和安全遥测数据。
- 获得 Windows 管理和安全运营 (Security Operations) 工作流的双重经验。
该项目加深了我对 Active Directory 管理、终端监控和威胁检测如何在现代 SOC 环境中协同工作的理解。
# 🚀 未来改进
本实验环境未来可能的增强功能包括:
- 部署额外的 Windows 客户端系统
- 配置组策略对象 (GPO)
- 模拟横向移动场景
- 集成 Microsoft Sentinel 进行多 SIEM 监控
- 执行 BloodHound Active Directory 分析
- 模拟勒索软件行为以进行检测测试
- 扩展 PowerShell 自动化以配置用户
- 添加 Sigma 规则用于自定义检测
- 为额外的 Active Directory 攻击技术制定 Wazuh 检测规则
# 📂 项目总结
| 类别 | 详细信息 |
|----------|----------|
| 环境 | Windows Server 2022, Windows 10, Ubuntu Server, Kali Linux |
| 身份平台 | Active Directory Domain Services |
| SIEM | Wazuh |
| 终端监控 | Sysmon |
| 自动化 | PowerShell |
| 攻击工具 | NetExec, Impacket |
| 检测框架 | MITRE ATT&CK |
| 虚拟化 | VirtualBox |
# 🎯 SOC 岗位核心技能亮点
- Active Directory 管理
- Windows Server 管理
- 安全监控
- 威胁狩猎
- SIEM 操作
- 终端可见性
- Windows 事件分析
- MITRE ATT&CK 映射
- 身份验证分析
- 日志关联
- 事件调查
- 蓝队基础
## 🤝 与我联系
如果您想讨论这个项目或进行职业上的联系,请随时与我取得联系。
- [**LinkedIn**](https://www.linkedin.com/in/rohithbaggu/)
- [**TryHackMe**](https://tryhackme.com/p/rohithbaggu56)
## ⭐ 如果您觉得这个项目有帮助
如果您觉得这个仓库有用或有趣,请考虑给它点个 ⭐。
随时欢迎反馈和建议。