Shreya112342/AD-Threat-Hunting-SOAR

GitHub: Shreya112342/AD-Threat-Hunting-SOAR

基于 Elastic SIEM 的 Active Directory 攻击检测、威胁狩猎与 SOAR 自动化响应实验室项目,覆盖从攻击模拟到事件响应的完整蓝队工作流。

Stars: 0 | Forks: 0

# 使用 Elastic SIEM 进行端到端 Active Directory 威胁狩猎与 SOAR ## 概述 本项目演示了在受控实验室环境中检测、监控和响应 Active Directory 攻击的完整生命周期。目标是模拟常见的 Active Directory 攻击技术,收集 Windows 安全日志,开发自定义检测规则,在 Elastic SIEM 中可视化安全事件,并使用 SOAR 自动化事件响应工作流。 本项目重点关注**检测工程**、**威胁狩猎**、**安全监控**和**事件响应**,并将检测结果与 MITRE ATT&CK 框架进行映射。 # 项目目标 * 在受控实验室中模拟真实的 Active Directory 攻击场景 * 生成 Windows 安全事件日志 * 收集日志并将其转发至 Elastic Stack * 开发自定义 Sigma 检测规则 * 使用 KQL 创建 Elastic SIEM 检测规则 * 为 SOC 监控构建仪表板 * 实施自动化的 SOAR 响应工作流 * 将检测结果映射到 MITRE ATT&CK 框架 # 技术栈 | 类别 | 技术 | | -------------------- | ------------------------------------------------------- | | 操作系统 | Windows Server (Active Directory), Kali Linux | | 目录服务 | Active Directory Domain Services | | 攻击模拟 | Impacket Toolkit, SMB Client | | 日志收集 | Windows Event Logs, Winlogbeat / Elastic Agent | | SIEM | Elastic Stack (Elasticsearch, Kibana, Elastic Security) | | 检测工程 | Sigma Rules, Kibana Query Language (KQL) | | 框架 | MITRE ATT&CK | | 自动化 | Elastic SOAR Playbooks | # 项目架构 ``` ┌────────────────────┐ │ Kali Linux │ │ Attack Simulation │ └─────────┬──────────┘ │ Attack Traffic │ ▼ ┌────────────────────────────┐ │ Active Directory Domain │ │ Controller │ └──────────────┬─────────────┘ │ Windows Security Events │ ▼ ┌────────────────────────────┐ │ Winlogbeat / Elastic Agent │ └──────────────┬─────────────┘ │ ▼ Elasticsearch │ ▼ Elastic Security │ ┌──────────────────┼─────────────────┐ │ │ │ ▼ ▼ ▼ Detection Rules Dashboards SOAR Playbooks │ ▼ Security Alerts │ ▼ SOC Investigation & Response ``` # 项目工作流 ## 阶段 1 – 攻击模拟 * SMB Share Enumeration * AS-REP Roasting (`GetNPUsers.py`) * Kerberoasting (`GetUserSPNs.py`) * DCSync (`secretsdump.py`) * Pass-the-Hash * 用于 AD 关系映射的 BloodHound 收集/导入 ## 阶段 2 – 检测工程 为以下内容开发的自定义 Sigma 规则: * Kerberoasting 检测 * DCSync 检测 * Pass-the-Hash 检测 * PowerShell 监控 * SMB Enumeration 检测 ## 阶段 3 – Elastic SIEM 集成 使用 KQL 实施的检测逻辑,监控内容: * Event ID 4769 – Kerberos 服务票据请求 * Event ID 4662 – 目录复制访问 * Event ID 4624 – NTLM 网络登录 * Event ID 4104 – PowerShell 脚本块日志记录 * Event ID 4771 – Kerberos 预身份验证失败 (password spray) * Event ID 5140 – SMB 共享访问 ## 阶段 4 – 仪表板与 SOAR 仪表板:MITRE ATT&CK 映射矩阵、事件 ID 热力图、攻击细分、受攻击最多的用户、实时告警时间轴网格。 SOAR 工作流 (`Active Directory Threat Response Workflow`):告警触发 → Slack 通知 → 主机隔离暂存。 # MITRE ATT&CK 覆盖范围 | 技术 | ATT&CK ID | 战术 | | --------------- | --------- | ----------------- | | SMB Enumeration | T1021.002 | Lateral Movement | | AS-REP Roasting | T1558.004 | Credential Access | | Kerberoasting | T1558.003 | Credential Access | | DCSync | T1003.006 | Credential Access | | Pass-the-Hash | T1550.002 | Lateral Movement | | PowerShell | T1059.001 | Execution | | Password Spray | T1110.003 | Credential Access | # 仓库结构 ``` AD-Threat-Hunting-SOAR/ ├── README.md ├── LICENSE ├── docs/ │ ├── Architecture.md │ └── MITRE_Mapping.md ├── sigma_rules/ │ ├── dcsync.yml │ ├── kerberoasting.yml │ ├── asrep_roasting.yml │ ├── pass_the_hash.yml │ ├── powershell.yml │ └── password_spray.yml ├── kql_queries/ │ ├── dcsync.kql │ ├── kerberoasting.kql │ ├── pass_the_hash.kql │ ├── powershell.kql │ └── password_spray.kql ├── dashboards/ │ ├── kibana_dashboard.json │ └── dashboard_images/ ├── soar/ │ └── response_workflow.yml ├── screenshots/ │ ├── attack_simulation/ │ ├── elastic_alerts/ │ ├── dashboards/ │ └── soar/ └── references/ ├── MITRE.md └── Detection_Engineering.md ``` # 展示的技能 Active Directory 安全、检测工程、威胁狩猎、Elastic Security、Elasticsearch、Kibana、Sigma Rules、KQL、Windows 事件分析、MITRE ATT&CK、SIEM 操作、SOC 分析、SOAR 自动化、事件响应、日志分析、蓝队运营。 # 未来增强计划 * 与 Sysmon 遥测集成 * 自动化威胁情报丰富 * Sigma 规则转换 pipeline * 使用 Atomic Red Team 进行检测验证 * 扩展 ATT&CK 技术覆盖范围 * 增强 SOAR playbook * 多域 Active Directory 支持 * 检测性能优化 # 作者 网络安全 | SOC 分析师 | 检测工程 | 威胁狩猎 | Elastic SIEM | 蓝队
标签:Elastic Stack, MIT许可证, PE 加载器, SOAR, 安全运营, 扫描框架, 活动目录, 流量重放, 网络安全, 越狱测试, 隐私保护