depigr1/Mini-SOC-Active-Directory-Home-Lab-Incident-Response-Web-Attack-Detection
GitHub: depigr1/Mini-SOC-Active-Directory-Home-Lab-Incident-Response-Web-Attack-Detection
一个端到端的迷你 SOC 实验室项目,通过搭建 Active Directory 环境并模拟完整攻击链,让安全分析师在 Splunk 中进行日志收集、事件调查和 Web 攻击检测的实战练习。
Stars: 0 | Forks: 0
# 🛡️ Mini SOC — Active Directory 家庭实验室、事件响应与 Web 攻击检测
**一个端到端的安全运营中心 (SOC) 实验室,用于日志收集、网络杀伤链模拟、事件调查和 Web 攻击检测。**
[]()
[]()
[]()
[]()
[]()
# 📑 目录
- [概述](#-overview)
- [实验环境与网络](#-lab-environment--network)
- [项目架构](#-project-architecture)
- [安全组件](#-security-components)
- [日志源与索引](#-log-sources--indexes)
- [网络杀伤链模拟](#-cyber-kill-chain-simulation)
- [事件调查](#-incident-investigation)
- [Web 攻击检测](#-web-attack-detection)
- [贡献者](#-contributors)
# 🧭 概述
本仓库记录了 **数字埃及先锋倡议 (DEPI)** **信息安全分析师** 赛道下的一个综合毕业设计项目。
该项目通过结合基础设施部署、进攻性安全和防御性事件响应,模拟了一个完整的安全运营中心 (SOC) 环境。
工作流程包括:
1. **基础设施与遥测**
- 在 VirtualBox 内部署 Active Directory 域。
- 将 Windows 系统与 Splunk Enterprise 集成,以实现集中式日志记录。
2. **攻击模拟**
- 使用 Kali Linux 对 Windows 目标执行完整的网络杀伤链攻击。
3. **事件调查**
- 使用 Sysmon 和 Windows 事件日志,通过 Splunk 重构攻击时间线。
4. **Web 攻击检测**
- 使用 Apache 访问日志检测针对 DVWA 的 OWASP Top 10 攻击。
# 🌐 实验环境与网络
| 节点 | 角色 | IP 地址 |
|------|------|------------|
| Splunk Server | Ubuntu Server (SIEM) | `192.168.100.10` |
| Active Directory | Windows Server 2022 域控制器 | `192.168.100.7` |
| Windows 11 | 端点 | `192.168.100.100` |
| Windows 10 | 端点 | `192.168.1.10` |
| Kali Linux | 攻击者 | `192.168.100.250` / `192.168.1.9` |
# 🏗️ 项目架构
```
flowchart TD
A[🥷 Kali Linux] -->|SMB Brute Force / WinRM| B[💻 Windows Endpoints]
A -->|Web Attacks| C[🌐 Apache + DVWA]
B -->|Sysmon & Event Logs| D[📤 Splunk Universal Forwarder]
C -->|Apache Logs| D
E[🏢 Active Directory] -->|Security Logs| D
D -->|Port 9997| F[📊 Splunk Enterprise]
F --> G[🧑💻 SOC Analyst]
```
# 🔐 安全组件
📊 Splunk Enterprise
部署在 Ubuntu Server 上的中央 SIEM。收集并关联来自 Windows 端点、Active Directory 和 Apache 的日志。📤 Splunk Universal Forwarder
安装在 Windows 系统上,通过端口 **9997** 安全地将日志转发到 Splunk。🧩 Sysmon
使用自定义的 **sysmonconfig.xml** 进行配置,以捕获进程创建、网络连接、注册表更改和文件事件。🏢 Active Directory
运行 Windows Server 2022,配置了 **mydfir.local** 域、组织单位 (OU)、用户和组策略 (GPO)。🌐 DVWA
作为具有故意漏洞的 Web 应用程序,用于 SQLi、XSS、文件上传、LFI 和命令注入测试。标签:Active Directory, CISA项目, CTI, Plaso, Web漏洞检测, 安全运营中心(SOC), 库, 应急响应, 攻击模拟, 日志收集, 逆向工具, 驱动签名利用