Shreya112342/AD-Threat-Hunting-SOAR
GitHub: Shreya112342/AD-Threat-Hunting-SOAR
基于 Elastic SIEM 的 Active Directory 攻击检测、威胁狩猎与 SOAR 自动化响应实验室项目,覆盖从攻击模拟到事件响应的完整蓝队工作流。
Stars: 0 | Forks: 0
# 使用 Elastic SIEM 进行端到端 Active Directory 威胁狩猎与 SOAR
## 概述
本项目演示了在受控实验室环境中检测、监控和响应 Active Directory 攻击的完整生命周期。目标是模拟常见的 Active Directory 攻击技术,收集 Windows 安全日志,开发自定义检测规则,在 Elastic SIEM 中可视化安全事件,并使用 SOAR 自动化事件响应工作流。
本项目重点关注**检测工程**、**威胁狩猎**、**安全监控**和**事件响应**,并将检测结果与 MITRE ATT&CK 框架进行映射。
# 项目目标
* 在受控实验室中模拟真实的 Active Directory 攻击场景
* 生成 Windows 安全事件日志
* 收集日志并将其转发至 Elastic Stack
* 开发自定义 Sigma 检测规则
* 使用 KQL 创建 Elastic SIEM 检测规则
* 为 SOC 监控构建仪表板
* 实施自动化的 SOAR 响应工作流
* 将检测结果映射到 MITRE ATT&CK 框架
# 技术栈
| 类别 | 技术 |
| -------------------- | ------------------------------------------------------- |
| 操作系统 | Windows Server (Active Directory), Kali Linux |
| 目录服务 | Active Directory Domain Services |
| 攻击模拟 | Impacket Toolkit, SMB Client |
| 日志收集 | Windows Event Logs, Winlogbeat / Elastic Agent |
| SIEM | Elastic Stack (Elasticsearch, Kibana, Elastic Security) |
| 检测工程 | Sigma Rules, Kibana Query Language (KQL) |
| 框架 | MITRE ATT&CK |
| 自动化 | Elastic SOAR Playbooks |
# 项目架构
```
┌────────────────────┐
│ Kali Linux │
│ Attack Simulation │
└─────────┬──────────┘
│
Attack Traffic
│
▼
┌────────────────────────────┐
│ Active Directory Domain │
│ Controller │
└──────────────┬─────────────┘
│
Windows Security Events
│
▼
┌────────────────────────────┐
│ Winlogbeat / Elastic Agent │
└──────────────┬─────────────┘
│
▼
Elasticsearch
│
▼
Elastic Security
│
┌──────────────────┼─────────────────┐
│ │ │
▼ ▼ ▼
Detection Rules Dashboards SOAR Playbooks
│
▼
Security Alerts
│
▼
SOC Investigation & Response
```
# 项目工作流
## 阶段 1 – 攻击模拟
* SMB Share Enumeration
* AS-REP Roasting (`GetNPUsers.py`)
* Kerberoasting (`GetUserSPNs.py`)
* DCSync (`secretsdump.py`)
* Pass-the-Hash
* 用于 AD 关系映射的 BloodHound 收集/导入
## 阶段 2 – 检测工程
为以下内容开发的自定义 Sigma 规则:
* Kerberoasting 检测
* DCSync 检测
* Pass-the-Hash 检测
* PowerShell 监控
* SMB Enumeration 检测
## 阶段 3 – Elastic SIEM 集成
使用 KQL 实施的检测逻辑,监控内容:
* Event ID 4769 – Kerberos 服务票据请求
* Event ID 4662 – 目录复制访问
* Event ID 4624 – NTLM 网络登录
* Event ID 4104 – PowerShell 脚本块日志记录
* Event ID 4771 – Kerberos 预身份验证失败 (password spray)
* Event ID 5140 – SMB 共享访问
## 阶段 4 – 仪表板与 SOAR
仪表板:MITRE ATT&CK 映射矩阵、事件 ID 热力图、攻击细分、受攻击最多的用户、实时告警时间轴网格。
SOAR 工作流 (`Active Directory Threat Response Workflow`):告警触发 → Slack 通知 → 主机隔离暂存。
# MITRE ATT&CK 覆盖范围
| 技术 | ATT&CK ID | 战术 |
| --------------- | --------- | ----------------- |
| SMB Enumeration | T1021.002 | Lateral Movement |
| AS-REP Roasting | T1558.004 | Credential Access |
| Kerberoasting | T1558.003 | Credential Access |
| DCSync | T1003.006 | Credential Access |
| Pass-the-Hash | T1550.002 | Lateral Movement |
| PowerShell | T1059.001 | Execution |
| Password Spray | T1110.003 | Credential Access |
# 仓库结构
```
AD-Threat-Hunting-SOAR/
├── README.md
├── LICENSE
├── docs/
│ ├── Architecture.md
│ └── MITRE_Mapping.md
├── sigma_rules/
│ ├── dcsync.yml
│ ├── kerberoasting.yml
│ ├── asrep_roasting.yml
│ ├── pass_the_hash.yml
│ ├── powershell.yml
│ └── password_spray.yml
├── kql_queries/
│ ├── dcsync.kql
│ ├── kerberoasting.kql
│ ├── pass_the_hash.kql
│ ├── powershell.kql
│ └── password_spray.kql
├── dashboards/
│ ├── kibana_dashboard.json
│ └── dashboard_images/
├── soar/
│ └── response_workflow.yml
├── screenshots/
│ ├── attack_simulation/
│ ├── elastic_alerts/
│ ├── dashboards/
│ └── soar/
└── references/
├── MITRE.md
└── Detection_Engineering.md
```
# 展示的技能
Active Directory 安全、检测工程、威胁狩猎、Elastic Security、Elasticsearch、Kibana、Sigma Rules、KQL、Windows 事件分析、MITRE ATT&CK、SIEM 操作、SOC 分析、SOAR 自动化、事件响应、日志分析、蓝队运营。
# 未来增强计划
* 与 Sysmon 遥测集成
* 自动化威胁情报丰富
* Sigma 规则转换 pipeline
* 使用 Atomic Red Team 进行检测验证
* 扩展 ATT&CK 技术覆盖范围
* 增强 SOAR playbook
* 多域 Active Directory 支持
* 检测性能优化
# 作者
网络安全 | SOC 分析师 | 检测工程 | 威胁狩猎 | Elastic SIEM | 蓝队
标签:Elastic Stack, MIT许可证, PE 加载器, SOAR, 安全运营, 扫描框架, 活动目录, 流量重放, 网络安全, 越狱测试, 隐私保护