0xcr4cx/AD-with-Splunk

GitHub: 0xcr4cx/AD-with-Splunk

基于 Splunk SIEM 和 Windows Active Directory 构建的 SOC 安全监控实验环境,用于练习威胁检测、事件调查与防御运营技能。

Stars: 0 | Forks: 0

## 使用 Splunk 的 Active Directory SOC 实验室 AD-SPLUNK ### 概述 本项目展示了一个安全运营中心 (SOC) 实验室的设计与实现,该实验室专注于使用 Splunk 进行 Active Directory 安全监控和威胁检测。该环境模拟了一个真实的企业网络,由一台 Windows Server 2022 域控制器、Windows 客户端端点以及一台用于集中式日志收集、分析和告警的 Splunk SIEM 服务器组成。 该实验室的主要目标是通过在受控环境中生成和分析安全事件,获得 Active Directory 管理、Windows 日志记录、SIEM 操作、威胁狩猎和检测工程的实践经验。 ## 实验室架构 - Windows Server 2022(域控制器) - Active Directory Domain Services (AD DS) - DNS Server - Windows 10/11 域加入端点 - Splunk Enterprise - 用于增强端点遥测的 Sysmon ## 功能 ### Active Directory 管理 - 域创建和配置 - 用户和组管理 - 组织单位 (OU) 管理 - 组策略对象 (GPO) 实施 - 特权账户管理 ### 日志收集与监控 - Windows 安全事件日志 - Sysmon 操作日志 - PowerShell 日志记录 - Kerberos 身份验证事件 - 账户管理事件 - 权限提升事件 ### 检测工程 开发了自定义的 Splunk 搜索和告警来检测: - 登录失败尝试(事件 ID 4625) - 登录成功(事件 ID 4624) - 账户锁定(事件 ID 4740) - 用户账户创建(事件 ID 4720) - 用户账户删除(事件 ID 4726) - 组成员身份更改(事件 ID 4728、4732) - 特权账户活动 - 可疑的 PowerShell 执行(事件 ID 4104) - Kerberos 身份验证活动(事件 ID 4768、4769) ### 威胁狩猎用例 - 密码喷射检测 - 暴力破解活动检测 - 未经授权的权限提升 - 可疑的管理操作 - 横向移动调查 - 服务账户监控 - 异常身份验证模式 ### Splunk 仪表板 该项目包含用于以下方面的仪表板: - 身份验证监控 - 账户管理活动 - 特权用户追踪 - 安全事件趋势 - 端点活动监控 - 威胁狩猎调查 - MITRE ATT&CK 覆盖范围 检测逻辑映射到相关的 MITRE ATT&CK 技术,包括: - T1110 – 暴力破解 - T1078 – 有效账户 - T1059.001 – PowerShell - T1558 – 窃取或伪造 Kerberos 票据 - T1069 – 权限组发现 - T1484 – 域策略修改 ### 展示的技能 - Active Directory 安全 - Splunk SIEM 管理 - 检测工程 - 威胁狩猎 - 安全监控 - 事件调查 - Windows 事件日志分析 - Sysmon 分析 - Active Directory 攻击检测 - SOC 运营 ### 学习成果 本项目提供了构建和防御 Windows Active Directory 环境的实践经验,同时培养了 SOC 分析师使用 Splunk 进行监控、检测、调查和事件响应的技能。
标签:AI合规, Terraform 安全