Detection Lab简介与使用指南

Detection Lab其实是一套Packer和Vagrant脚本的集合，它可以帮助你迅速上线一个Windows活动目录，并给你提供一系列完整的终端安全以及日志工具。

本项目旨在给大家提供一种更加简单快捷的方式来搭建出一套实验环境，该环境已提前预装了相关的实验工具，并完成了所有的预配置。本项目是作者花费了多个周末耗时好几个月的时间完成的，希望大家能够喜欢。

项目地址

【GitHub传送门】

DetectionLab的适用对象

该工具可能适用的场景包括：

1. 需要查看特定攻击技术所生成的日志以及警报类型的数字取证以及事件响应专家。

2. 需要快速搭建活动目录环境（用于测试目的）的漏洞Hunter。

3. 需要查看取证数据以及日志类型的红队成员。

4. 需要获取安全工具自动化安全与配置参考资料的研究人员。

5. 需要快速搭建一体化小型测试平台的安全研究人员。

DetectionLab实验工具

DetectionLab自带的工具包旨在给安全研究人员提供最大程度的可见性，它所提供的操作系统不仅没有实现任何的安全增强功能，而且还故意设计了很多安全漏洞，所以千万不要再任何公共网络中运行Detection Lab自带的操作系统。

DetectionLab预装的安全工具以及预配置信息如下所示：

日志增强

-实现了Palantir的Windows事件转发订阅以及自定义信道：

-所有自动开启的条目都会通过AutorunsToWinEventLog记录到Windows事件日志中：

-工具通过GPO设置了自定义的Windows审计配置，其中包含命令行进程审计以及额外的操作系统层日志记录。下面给出的是GPO审计样本：

-所有主机的PowerShell转录日志会被保存在WEF服务器中（SMB共享）。

-启用了SMBv1审计。

-Logger主机预配置了Splunk，并会对所有收集到的日志进行解析。

终端安全

-采用了Palantir的开源osquery配置，所有的osquery代理都会链接到Logger主机中的Fleet服务器：

-安装了Sysmon，并使用了SwiftOnSecurity的开源配置：

-除此之外，目录C:\Tools中还包括ProcessExplorer、ProcessMonitor、TCPView和PsExec等实用工具。

Windows主机中预装的工具如下：

Sysmon

osquery

AutorunsToWinEventLog

ProcessMonitor

ProcessExplorer

PsExec

TCPView

GoogleChrome

Atomeditor

WinRar

Mimikatz

DetectionLab总共由4种主机构成：

1.DC：一个Windows 2016域名控制器；

2.WEF：一台Windows 2016服务器，用来管理Windows事件收集；

3.Win10：一台Windows 10主机，用来模拟一个非服务器的终端；

4.Logger：一台Ubuntu 16.04主机，负责运行Splunk和Fleet服务器；

DetectionLab信息

1.域名：windomain.local

2.管理员登录：vagrant:vagrant

3.Fleet登录：admin:admin123#

4.Splunk登录：admin:changeme

运行要求

1.55GB以上的磁盘空间；

2.Packer1.0.0或更新版本；

3.Vagrant1.9.2更新版本；

4.Virtualbox或VMWare Fusion/Workstation；

DetectionLab已在下列平台上测试成功：

环境搭建

为了搭建Detection Lab，我们首先需要搭建一台Windows 2016服务器以及一台Windows 10主机（使用Packer），总共所需时间大约为2小时。

接下来，创建Windows域名，并在主机中安装额外的软件。Vagrant的运行需要安装类似VirtualBox或VMWare之类的虚拟机，配置完所有的4个主机其整个过程大约需要90分钟。配置完成之后，你只需要2-3分钟即可让实验环境上线。

自定义配置

DetectionLab允许研究人员根据自己的需要来对其进行自定义配置。如果你不喜欢环境自带的工具，你完全可以将其删除。如果你想使用自己的Sysmon配置，直接替换掉原有配置文件就可以了。如果你只想要一个普通的活动目录，它同样能够满足你的需求。

注意事项

本项目自带的工具完全是出于技术角度来提供给大家的，如果你在使用过程中发现了任何问题的话（包括漏洞），请及时在本项目的【GitHub主页】上留言。

文章出处：FreeBuf