Detection Lab简介与使用指南

"Detection lab我觉得是一整套Packer和Vagrant脚本制作的非空子集，它能够协助你快速发布1个Windows活动目录，并让你出示一连串详细的终端安全及其系统日志专用工具。

本新项目致力于给大家出示这种更为简易便捷的方法来构建出一整套试验自然环境，该自然环境已提早预装了有关的试验专用工具，并进行了全部的预配备。本新项目是创作者花销了好几个礼拜天用时很多月的時间进行的，期待大家可以喜爱。

新项目详细地址

【GitHub传送门】

DetectionLab的可用构造函数

该专用工具将会可用的情景包含：

1.   必须查询特殊进攻技术性所转化成的系统日志及其报警种类的大数字调查取证及其恶性事件没有响应权威专家。

2.   必须迅速构建活动目录自然环境（用以检测目地）的系统漏洞Hunter。

3.   必须查询调查取证统计数据及其系统日志种类的红队组员。

11.   必须获得安全工具自动化技术安全性与配备参考文献的科学研究工作人员。

4.   必须迅速构建集成化中小型检测服务平台的安全性科学研究工作人员。

DetectionLab试验专用工具

DetectionLab内置的工具包致力于给安全性科学研究工作人员出示较大水平的看得见性，它所出示的电脑操作系统不但沒有建立一切的安全性提高作用，并且还蓄意设计方案了许多网络安全问题，因此千万别再一切公共性互联网中运作Detection lab内置的电脑操作系统。

DetectionLab预装的安全工具及其预配备信息内容给出如图所示：

系统日志提高

-建立了Palantir的Windows恶性事件发送定阅及其自定信道：

-全部全自动打开的内容都是根据AutorunsToWinEventLog纪录到Windows事件日志中：

-专用工具根据GPO设定了自定的Windows财务审计配备，至少包括命令行系统进程财务审计及其附加的电脑操作系统层系统日志纪录。下边得出的是GPO财务审计样版：

-全部服务器的PowerShell转录系统日志会被储存在WEF网络服务器中（SMB共享资源）。

-开启了SMBv1财务审计。

-Logger服务器预配备了Splunk，并会对全部搜集到的系统日志开展分析。

终端安全

-选用了Palantir的开源系统osquery配备，全部的osquery代理商都是连接到Logger服务器中的Fleet网络服务器：

-装上Sysmon，并应用了SwiftOnSecurity的开源系统配备：

-此外，文件目录C:\Tools中还包含ProcessExplorer、ProcessMonitor、TCPView和PsExec等小工具。

Windows服务器中预装的专用工具给出：

Sysmon

osquery

AutorunsToWinEventLog

ProcessMonitor

ProcessExplorer

PsExec

TCPView

GoogleChrome

Atomeditor

WinRar

Mimikatz

DetectionLab一共由4种服务器组成：

1.   Dc：1个Windows 2014网站域名控制板；

2.   WEF：每台Windows 2014网络服务器，用于管理方法Windows恶性事件搜集；

3.   Win10：每台Windows 12服务器，用于仿真模拟1个非网络服务器的终端设备；

11.   Logger：每台Ubuntu 16.04服务器，承担运作Splunk和Fleet网络服务器；

DetectionLab信息内容

1.   网站域名：windomain.local

2.   管理人员登陆：vagrant:vagrant

3.   Fleet登陆：admin:admin123#

11.   Splunk登陆：admin:changeme

运作规定

1.   56Gb左右的磁盘空间；

2.   Packer1.0.0或升级版本号；

3.   Vagrant1.9.2升级版本号；

11.   Virtualbox或VMWare Fusion/Workstation；

DetectionLab已在下述服务平台上检测取得成功：

自然环境构建

以便构建Detection lab，人们最先必须构建每台Windows 2014网络服务器及其每台Windows 12服务器（应用Packer），一共需要時间大概为2钟头。

接下去，建立Windows网站域名，并在服务器中安裝附加的手机软件。Vagrant的运作必须安裝相近V