desmondeverett/Enterprise-Security

GitHub: desmondeverett/Enterprise-Security

一个多阶段的企业安全实验室,在隔离环境中模拟 Windows 终端与 AD 域场景,用于威胁狩猎练习、遥测采集与安全策略验证。

Stars: 0 | Forks: 0

# 企业安全与威胁狩猎实验室 一个多阶段的企业安全实验室,包含一个隔离的 Windows 11 目标机和 Active Directory 域控制器,用于威胁狩猎、遥测数据生成和策略部署。 ## 🧪 第一阶段:Windows 11 沙箱环境配置 **状态:** 进行中 🟡 ### 🎯 第一阶段目标 - [x] 统一 Windows 11 ISO 的命名规范。 - [x] 配置一台符合 Windows 11 最低要求的新 VirtualBox 虚拟机 (VM)。 - [x] 配置隔离的“沙箱”内部网络,以防止意外的网络泄露。 - [ ] 使用离线本地账户绕过方式 (OOBE\BYPASSNRO) 安装 Windows 11。 - [ ] 在引入任何工具或威胁之前,建立一个干净的“基线”快照。 *📸 截图占位符:* ## 🏢 第二阶段:Active Directory 集成 **状态:** 待处理 🔴 ### 🎯 第二阶段目标 - [ ] 启动 `ET-DC01` (Windows Server) 并将其连接到 `ET-Sandbox` 内部网络。 - [ ] 为 `ET-DC01` 和 `ET-Win11-Target` 配置静态 IP 地址。 - [ ] 将 `ET-Win11-Target` 加入本地 Active Directory 域。 - [ ] 创建测试组织单位 (OU) 和域用户账户。 - [ ] 将组策略对象 (GPO) 部署到 Windows 11 目标机(例如,设置基线安全策略或禁用 Defender 以进行测试)。 *📸 截图占位符:* ## 🛡️ 第三阶段:遥测与日志转发 **状态:** 待处理 🔴 ### 🎯 第三阶段目标 - [ ] 使用企业级配置(例如 SwiftOnSecurity)在 `ET-Win11-Target` 上安装 Sysmon。 - [ ] 在 `ET-Win11-Target` 上安装 Splunk Universal Forwarder。 - [ ] 配置 Forwarder 以将 Windows 事件日志和 Sysmon 遥测数据发送到 Splunk 实例。 - [ ] 验证日志摄取和索引。 *📸 截图占位符:* ## ⚔️ 第四阶段:威胁模拟与检测 **状态:** 待处理 🔴 ### 🎯 第四阶段目标 - [ ] 模拟对域控制器的暴力破解身份验证攻击。 - [ ] 在 Windows 11 目标机上执行基础的基于 PowerShell 的 payload。 - [ ] 利用 Splunk 搜索处理语言 (SPL) 狩猎与进程创建和注册表修改相关的事件 ID。 - [ ] 记录发现结果并将其映射到 MITRE ATT&CK 框架。 *📸 截图占位符:*
标签:Active Directory, AI合规, Plaso, Sysmon, Terraform 安全, 安全实验环境, 系统运维