Splunk 攻击范围本地版(已废弃)使用指南
请注意,截至2023年5月8日,attack_range_local 已被弃用并归档。不过,您依然可以通过访问主要的 Splunk Attack Range 仓库来实现相同目的的本地部署。
1. 项目介绍
攻击范围本地版 是一个用于检测开发的平台,旨在解决检测工程中的三个关键挑战:迅速搭建接近生产环境的小型实验室基础设施、通过Atomic Red Team或Caldera等工具执行攻击模拟以生成真实攻击数据、以及无缝集成到CI/CD流程中自动化测试检测规则。这个项目现在虽被归档,但其核心功能已被整合至主仓库中。
2. 快速启动
尽管原项目已不再维护,我们可参照历史方式快速了解如何曾经启动此项目:
安装准备
首先,确保您的系统已安装必要的工具如Vagrant和VirtualBox。对于MacOS用户,可以使用Homebrew进行安装:
brew update
brew install --cask virtualbox
brew install --cask vagrant
curl -sSL https://install.python-poetry.org/ | python -
poetry shell
poetry install
接着,配置Attack Range(此步骤现可能在新版本中有所不同):
python attack_range.py configure
然后,运行以下命令来构建攻击范围环境(假设仍然适用):
python attack_range_local.py -a build
执行攻击模拟
例如,模拟特定技术ID的攻击:
python attack_range_local.py -a simulate -st T1003.001 -t attack-range-windows-domain-controller
3. 应用案例和最佳实践
- 检测能力验证:利用Atomic Red Team的场景对自定义检测逻辑进行验证。
- 安全训练:作为内部团队培训的环境,模拟真实的攻击情景,提升团队响应能力。
- 持续集成:将攻击范围集成到安全工具的自动化测试流程中,确保检测覆盖的持续有效性。
4. 典型生态项目
虽然attack_range_local本身已经不更新,现代的安全生态中, Splunk 的 attack_range 仓库成为了集成本地和云端模拟的强大工具,支持与多种SIEM解决方案的紧密集成,包括但不限于:
- Splunk Enterprise:作为主要的后端数据分析引擎,处理由攻击范围生成的数据。
- Phantom:自动化安全运营平台,可用于响应在攻击范围内模拟的事件。
- Enterprise Security Content Update (ESCU):提供预先配置的检测规则和知识对象,增强安全监控能力。
如果您想继续使用或探索类似的功能,请转向 Splunk 的官方 attack_range 仓库,它包含了更全面的功能和支持。
由于原始项目已归档,上述操作可能需要依据最新仓库的文档进行调整。务必参考最新的官方说明进行操作。
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
