0xcr4cx/AD-with-Splunk
GitHub: 0xcr4cx/AD-with-Splunk
基于 Splunk SIEM 和 Windows Active Directory 构建的 SOC 安全监控实验环境,用于练习威胁检测、事件调查与防御运营技能。
Stars: 0 | Forks: 0
## 使用 Splunk 的 Active Directory SOC 实验室
### 概述
本项目展示了一个安全运营中心 (SOC) 实验室的设计与实现,该实验室专注于使用 Splunk 进行 Active Directory 安全监控和威胁检测。该环境模拟了一个真实的企业网络,由一台 Windows Server 2022 域控制器、Windows 客户端端点以及一台用于集中式日志收集、分析和告警的 Splunk SIEM 服务器组成。
该实验室的主要目标是通过在受控环境中生成和分析安全事件,获得 Active Directory 管理、Windows 日志记录、SIEM 操作、威胁狩猎和检测工程的实践经验。
## 实验室架构
- Windows Server 2022(域控制器)
- Active Directory Domain Services (AD DS)
- DNS Server
- Windows 10/11 域加入端点
- Splunk Enterprise
- 用于增强端点遥测的 Sysmon
## 功能
### Active Directory 管理
- 域创建和配置
- 用户和组管理
- 组织单位 (OU) 管理
- 组策略对象 (GPO) 实施
- 特权账户管理
### 日志收集与监控
- Windows 安全事件日志
- Sysmon 操作日志
- PowerShell 日志记录
- Kerberos 身份验证事件
- 账户管理事件
- 权限提升事件
### 检测工程
开发了自定义的 Splunk 搜索和告警来检测:
- 登录失败尝试(事件 ID 4625)
- 登录成功(事件 ID 4624)
- 账户锁定(事件 ID 4740)
- 用户账户创建(事件 ID 4720)
- 用户账户删除(事件 ID 4726)
- 组成员身份更改(事件 ID 4728、4732)
- 特权账户活动
- 可疑的 PowerShell 执行(事件 ID 4104)
- Kerberos 身份验证活动(事件 ID 4768、4769)
### 威胁狩猎用例
- 密码喷射检测
- 暴力破解活动检测
- 未经授权的权限提升
- 可疑的管理操作
- 横向移动调查
- 服务账户监控
- 异常身份验证模式
### Splunk 仪表板
该项目包含用于以下方面的仪表板:
- 身份验证监控
- 账户管理活动
- 特权用户追踪
- 安全事件趋势
- 端点活动监控
- 威胁狩猎调查
- MITRE ATT&CK 覆盖范围
检测逻辑映射到相关的 MITRE ATT&CK 技术,包括:
- T1110 – 暴力破解
- T1078 – 有效账户
- T1059.001 – PowerShell
- T1558 – 窃取或伪造 Kerberos 票据
- T1069 – 权限组发现
- T1484 – 域策略修改
### 展示的技能
- Active Directory 安全
- Splunk SIEM 管理
- 检测工程
- 威胁狩猎
- 安全监控
- 事件调查
- Windows 事件日志分析
- Sysmon 分析
- Active Directory 攻击检测
- SOC 运营
### 学习成果
本项目提供了构建和防御 Windows Active Directory 环境的实践经验,同时培养了 SOC 分析师使用 Splunk 进行监控、检测、调查和事件响应的技能。
标签:AI合规, Terraform 安全