Maunton/Active-Directory-Splunk

GitHub: Maunton/Active-Directory-Splunk

一个基于 Splunk 的活动目录安全监控实验项目,用于验证登录失败行为在 SIEM 中的可见性与调查流程。

Stars: 0 | Forks: 0

# 使用 Splunk 的活动目录安全监控实验

一个专注于监控 Windows 身份验证活动、调查登录失败情况,并在受控的活动目录环境中验证安全可见性的动手实验项目。

## 目录 - [概述](#overview) - [招聘人员速览](#recruiter-snapshot) - [实验目标](#lab-objectives) - [实验环境](#environment) - [使用工具](#tools-used) - [网络拓扑图](#network-diagram) - [项目流程](#project-workflow) - [关键发现](#key-findings) - [截图](#screenshots) - [展示的技能](#skills-demonstrated) - [收获与体会](#what-i-learned) - [后续改进](#future-improvements) - [伦理使用声明](#ethical-use-note) ## 概述 本项目展示了如何搭建一个小型活动目录实验环境,并使用 Splunk 来监控、搜索和调查 Windows 身份验证事件。 实验的主要目的是在受控环境中生成失败的认证活动,确认相关的 Windows 安全日志在 Splunk 中是否可见,并通过 SIEM 分析识别可疑的登录行为。 本项目特别适用于 SOC 分析员、初级网络安全以及蓝队角色,因为它展示了在日志分析、事件关联、安全调查和家庭实验环境搭建方面的实践经验。 ## 招聘人员速览 **该项目直观展示了以下能力:** - 搭建了包含 Windows 和 Linux 系统的虚拟化活动目录实验环境 - 使用 Splunk 分析 Windows 身份验证活动 - 通过事件 ID 4625 调查重复的登录失败 - 关联目标账户活动与源主机和 IP 信息 - 实践了 SOC 风格的日志审查和安全事件分级 - 以专业的格式记录了工作流程,便于雇主查看 ## 实验目标 本项目的目标是验证活动目录环境中登录失败行为的安全可见性。 ### 目标 - 构建一个用于监控 Windows 身份验证的现实迷你实验环境 - 在安全且隔离的环境中生成失败的认证事件 - 验证事件是否被捕获并在 Splunk 中可搜索 - 调查 Windows 事件 ID 4625 活动 - 识别与活动相关的目标账户、攻击量及源系统 - 强化实际的 SIEM 和日志分析技能 ## 实验环境 - VirtualBox - Kali Linux - Windows 10 - Windows Server 2022 - Ubuntu Server 22.04 - 活动目录实验环境 - Splunk ## 使用工具 - **Splunk** — 日志摄取、搜索、事件分析和可见性 - **Windows 事件日志** — 身份验证和登录失败遥测 - **活动目录** — 集中式身份环境 - **Kali Linux** — 实验生成的测试活动 - **VirtualBox** — 家庭实验的虚拟化平台 ## 网络拓扑图

Active Directory and Splunk lab network diagram

## 项目流程 ### 1. 搭建实验环境 我创建了一个虚拟化环境,其中包含 Windows Server 域设置、Windows 10 终端、基于 Linux 的系统以及用于集中监控的 Splunk。 ### 2. 生成失败的认证活动 为了测试检测可见性,我在实验中生成重复的登录失败活动。这提供了用于分析的真实的认证事件,且不涉及任何未经授权的目标。 ### 3. 在 Splunk 中搜索与调查 一旦日志在 Splunk 中可用,我便搜索失败的认证模式并审查相关的安全事件,特别是 Windows 事件 ID 4625。 ### 4. 关联活动 我审查结果以确定: - 失败次数 - 被攻击的目标账户 - 生成活动的系统 - 可用的源 IP 或工作站信息 - 事件调查中可用的详细信息 ### 5. 验证防御可见性 该实验确认,失败的认证行为可以在 Splunk 中快速呈现,并可用于支持安全调查流程。 ## 关键发现 - 登录失败活动在 Splunk 中清晰可见 - 事件 ID 4625 提供了有用的失败认证细节 - 可以统计并调查重复的登录失败 - 可以关联目标账户行为与源信息 - 源机器和 IP 可见性提升了调查上下文 - Splunk 为实验中的检测和分析提供了坚实基础 ## 截图 ### 网络拓扑图

Active Directory and Splunk lab network diagram

### 实验中生成的失败认证活动

Lab-generated failed authentication activity

### 显示事件 ID 4625 数量的 Splunk 搜索

Splunk search showing Event ID 4625 counts

### 目标账户的重复登录失败

Splunk results showing repeated failed account logons

### Splunk 中的源主机与 IP 可见性

Splunk showing source machine and IP address

### 事件 ID 4625 详细信息

Windows Event ID 4625 detail view in Splunk

## 展示的技能 ### 安全运营 / 蓝队技能 - SIEM 监控与分析 - Windows 身份验证日志调查 - 事件 ID 4625 登录失败分析 - 实验环境中的基础检测验证 - 使用日志数据进行源归属 - 安全分级与模式识别 ### 技术技能 - Splunk 搜索与调查 - Windows 事件日志解读 - 活动目录实验环境搭建 - 基于 VirtualBox 的环境构建 - Linux 与 Windows 在家庭实验中的互操作性 - 以安全为重点的文档与报告 ## 收获与体会 这个项目加深了我对 Windows 身份验证失败如何在日志数据中呈现的理解,以及 SIEM 如何用于调查可疑登录行为。 它也强化了以下方面的重要性: - 集中化日志以实现可见性 - 理解 Windows 事件代码 - 在实验环境中验证安全遥测 - 将账户活动与源系统信息关联 - 以清晰、专业的格式记录技术工作 ## 后续改进 - 为登录失败趋势构建自定义 Splunk 仪表板 - 添加针对重复登录失败的告警 - 扩展覆盖范围至成功的登录和账户锁定 - 包含与身份验证相关的其他 Windows 事件 ID - 添加常见安全用例的检测映射 - 为实验创建一个小的事件响应风格调查流程 ## 伦理使用声明 本项目在受控的家庭实验环境中进行,用于防御性学习、安全监控验证和日志分析实践。未对未经授权的系统执行任何活动。
标签:Active Directory, AD安全, AMSI绕过, Plaso, Terraform 安全, Windows认证日志, 事件关联, 域环境监控, 失败登录, 威胁检测, 安全调查, 家庭实验室, 日志可视化, 日志收集, 网络安全实验, 虚拟化, 账户登录