desmondeverett/Enterprise-Security
GitHub: desmondeverett/Enterprise-Security
一个多阶段的企业安全实验室,在隔离环境中模拟 Windows 终端与 AD 域场景,用于威胁狩猎练习、遥测采集与安全策略验证。
Stars: 0 | Forks: 0
# 企业安全与威胁狩猎实验室
一个多阶段的企业安全实验室,包含一个隔离的 Windows 11 目标机和 Active Directory 域控制器,用于威胁狩猎、遥测数据生成和策略部署。
## 🧪 第一阶段:Windows 11 沙箱环境配置
**状态:** 进行中 🟡
### 🎯 第一阶段目标
- [x] 统一 Windows 11 ISO 的命名规范。
- [x] 配置一台符合 Windows 11 最低要求的新 VirtualBox 虚拟机 (VM)。
- [x] 配置隔离的“沙箱”内部网络,以防止意外的网络泄露。
- [ ] 使用离线本地账户绕过方式 (OOBE\BYPASSNRO) 安装 Windows 11。
- [ ] 在引入任何工具或威胁之前,建立一个干净的“基线”快照。
*📸 截图占位符:*
## 🏢 第二阶段:Active Directory 集成
**状态:** 待处理 🔴
### 🎯 第二阶段目标
- [ ] 启动 `ET-DC01` (Windows Server) 并将其连接到 `ET-Sandbox` 内部网络。
- [ ] 为 `ET-DC01` 和 `ET-Win11-Target` 配置静态 IP 地址。
- [ ] 将 `ET-Win11-Target` 加入本地 Active Directory 域。
- [ ] 创建测试组织单位 (OU) 和域用户账户。
- [ ] 将组策略对象 (GPO) 部署到 Windows 11 目标机(例如,设置基线安全策略或禁用 Defender 以进行测试)。
*📸 截图占位符:*
## 🛡️ 第三阶段:遥测与日志转发
**状态:** 待处理 🔴
### 🎯 第三阶段目标
- [ ] 使用企业级配置(例如 SwiftOnSecurity)在 `ET-Win11-Target` 上安装 Sysmon。
- [ ] 在 `ET-Win11-Target` 上安装 Splunk Universal Forwarder。
- [ ] 配置 Forwarder 以将 Windows 事件日志和 Sysmon 遥测数据发送到 Splunk 实例。
- [ ] 验证日志摄取和索引。
*📸 截图占位符:*
## ⚔️ 第四阶段:威胁模拟与检测
**状态:** 待处理 🔴
### 🎯 第四阶段目标
- [ ] 模拟对域控制器的暴力破解身份验证攻击。
- [ ] 在 Windows 11 目标机上执行基础的基于 PowerShell 的 payload。
- [ ] 利用 Splunk 搜索处理语言 (SPL) 狩猎与进程创建和注册表修改相关的事件 ID。
- [ ] 记录发现结果并将其映射到 MITRE ATT&CK 框架。
*📸 截图占位符:*
标签:Active Directory, AI合规, Plaso, Sysmon, Terraform 安全, 安全实验环境, 系统运维