depigr1/Mini-SOC-Active-Directory-Home-Lab-Incident-Response-Web-Attack-Detection

GitHub: depigr1/Mini-SOC-Active-Directory-Home-Lab-Incident-Response-Web-Attack-Detection

一个端到端的迷你 SOC 实验室项目,通过搭建 Active Directory 环境并模拟完整攻击链,让安全分析师在 Splunk 中进行日志收集、事件调查和 Web 攻击检测的实战练习。

Stars: 0 | Forks: 0

# 🛡️ Mini SOC — Active Directory 家庭实验室、事件响应与 Web 攻击检测 **一个端到端的安全运营中心 (SOC) 实验室,用于日志收集、网络杀伤链模拟、事件调查和 Web 攻击检测。** [![Splunk](https://img.shields.io/badge/SIEM-Splunk%20Enterprise-black?style=for-the-badge&logo=splunk&logoColor=white)]() [![Hypervisor](https://img.shields.io/badge/Hypervisor-VirtualBox-blue?style=for-the-badge)]() [![Kali Linux](https://img.shields.io/badge/Attacker-Kali%20Linux-blue?style=for-the-badge&logo=kalilinux&logoColor=white)]() [![Windows Server](https://img.shields.io/badge/AD-Windows%20Server%202022-blue?style=for-the-badge)]() [![状态](https://img.shields.io/badge/Status-Completed-brightgreen?style=for-the-badge)]()
# 📑 目录 - [概述](#-overview) - [实验环境与网络](#-lab-environment--network) - [项目架构](#-project-architecture) - [安全组件](#-security-components) - [日志源与索引](#-log-sources--indexes) - [网络杀伤链模拟](#-cyber-kill-chain-simulation) - [事件调查](#-incident-investigation) - [Web 攻击检测](#-web-attack-detection) - [贡献者](#-contributors) # 🧭 概述 本仓库记录了 **数字埃及先锋倡议 (DEPI)** **信息安全分析师** 赛道下的一个综合毕业设计项目。 该项目通过结合基础设施部署、进攻性安全和防御性事件响应,模拟了一个完整的安全运营中心 (SOC) 环境。 工作流程包括: 1. **基础设施与遥测** - 在 VirtualBox 内部署 Active Directory 域。 - 将 Windows 系统与 Splunk Enterprise 集成,以实现集中式日志记录。 2. **攻击模拟** - 使用 Kali Linux 对 Windows 目标执行完整的网络杀伤链攻击。 3. **事件调查** - 使用 Sysmon 和 Windows 事件日志,通过 Splunk 重构攻击时间线。 4. **Web 攻击检测** - 使用 Apache 访问日志检测针对 DVWA 的 OWASP Top 10 攻击。 # 🌐 实验环境与网络 | 节点 | 角色 | IP 地址 | |------|------|------------| | Splunk Server | Ubuntu Server (SIEM) | `192.168.100.10` | | Active Directory | Windows Server 2022 域控制器 | `192.168.100.7` | | Windows 11 | 端点 | `192.168.100.100` | | Windows 10 | 端点 | `192.168.1.10` | | Kali Linux | 攻击者 | `192.168.100.250` / `192.168.1.9` | # 🏗️ 项目架构 ``` flowchart TD A[🥷 Kali Linux] -->|SMB Brute Force / WinRM| B[💻 Windows Endpoints] A -->|Web Attacks| C[🌐 Apache + DVWA] B -->|Sysmon & Event Logs| D[📤 Splunk Universal Forwarder] C -->|Apache Logs| D E[🏢 Active Directory] -->|Security Logs| D D -->|Port 9997| F[📊 Splunk Enterprise] F --> G[🧑‍💻 SOC Analyst] ``` # 🔐 安全组件
📊 Splunk Enterprise 部署在 Ubuntu Server 上的中央 SIEM。收集并关联来自 Windows 端点、Active Directory 和 Apache 的日志。
📤 Splunk Universal Forwarder 安装在 Windows 系统上,通过端口 **9997** 安全地将日志转发到 Splunk。
🧩 Sysmon 使用自定义的 **sysmonconfig.xml** 进行配置,以捕获进程创建、网络连接、注册表更改和文件事件。
🏢 Active Directory 运行 Windows Server 2022,配置了 **mydfir.local** 域、组织单位 (OU)、用户和组策略 (GPO)。
🌐 DVWA 作为具有故意漏洞的 Web 应用程序,用于 SQLi、XSS、文件上传、LFI 和命令注入测试。
# 📋 日志源与索引 | 来源 | 日志类型 | Splunk 索引 | 示例 | |---------|----------|--------------|----------| | Windows 安全 | 事件日志 | `endpoint`, `windows10` | 4624, 4625, 4720 | | Sysmon | 操作日志 | `endpoint`, `windows10` | Event ID 1, 3, 11 | | Apache | 访问日志 | `access-too_small` | SQLi, XSS, 暴力破解, LFI | # ⚔️ 网络杀伤链模拟 1. 使用 **Nmap** 进行侦察 2. 使用 **msfvenom** 进行武器化 3. 使用 **Python HTTP Server** 进行投递 4. 通过 **CrackMapExec** 和 **Evil-WinRM** 进行利用 5. 使用 **计划任务** 和隐藏管理员账户建立持久化 6. 使用 **Metasploit multi/handler** 进行命令与控制 (C2) 7. 使用 **Mimikatz** 转储凭证 8. 通过清除 Windows 事件日志进行防御规避 # 🕵️ 事件调查 使用 Splunk SPL 查询重构了攻击时间线。 重点包括: - 检测到 **1,913 次失败登录尝试 (4625)**。 - 暴力破解后成功通过身份验证。 - WinRM 启动 **PowerShell**。 - 发现命令 (`whoami`、`ipconfig`、`netstat`)。 - 计划任务创建。 - 未经授权的本地管理员账户创建。 - Mimikatz 下载和执行。 - 使用 SCP 窃取已转储的凭证。 # 🕸️ Web 攻击检测 针对 DVWA 攻击创建了检测规则,包括: - SQL 注入 - 跨站脚本攻击 (XSS) - 本地文件包含 (LFI) - 路径遍历 - 恶意文件上传 - 暴力破解 ### 团队 1 — Active Directory 与 SIEM - Ahmed Mohamed Gamal - Ahmed Sobhy Abdulfattah - Mohamed Sadeq Mohamed Mosleh - Sama Ahmed Rasly ### 团队 2 — 进攻性安全与事件响应 - Ahmed Elsayed Albanna - Mostafa Rabee Mostafa Elshall
标签:Active Directory, CISA项目, CTI, Plaso, Web漏洞检测, 安全运营中心(SOC), 库, 应急响应, 攻击模拟, 日志收集, 逆向工具, 驱动签名利用