Splunk Attack Range：构建企业级攻击模拟环境

🔍 什么是 Splunk Attack Range？

Splunk Attack Range(https://github.com/splunk/attack_range) 是 Splunk Research 团队开发的开源项目，旨在帮助安全研究人员、SOC 分析师和红蓝对抗团队快速搭建模拟攻击环境，测试 SIEM 检测规则，复现 MITRE ATT&CK 技术，并优化威胁检测能力。

🚀 主要功能：

• 一键部署仿真环境（支持 AWS、本地虚拟化）
• 执行常见攻击场景（如 Mimikatz、Cobalt Strike、RDP Bruteforce）
• 收集并分析日志（支持 Splunk、Sysmon、Windows Event Logs 等）
• 与 MITRE ATT&CK 框架集成

⚙️ Attack Range 组件解析

1️⃣ Splunk SIEM

作为日志收集和分析的核心，Attack Range 预配置了 Splunk Enterprise，并可使用 Splunk Security Content 提供的检测规则。

2️⃣ Windows/Linux 攻击目标

环境中包含 Windows Server、Windows 10、Linux 主机，用户可以执行攻击并收集日志。

3️⃣ Atomic Red Team & Caldera

支持 Atomic Red Team 和 Caldera 自动化执行攻击技术，快速验证检测能力。

4️⃣ ELK & Sysmon

支持 Elasticsearch + Kibana 作为日志存储，并使用 Sysmon 采集详细系统日志。

🔥 部署 Attack Range（本地环境）

git clone https://github.com/splunk/attack_range.git
cd attack_range

apt-get update
apt-get install virtualbox
wget https://releases.hashicorp.com/vagrant/2.2.19/vagrant_2.2.19_x86_64.deb
apt install ./vagrant_2.2.19_x86_64.deb

curl -sSL https://install.python-poetry.org/ | python -
poetry shell
poetry install

python attack_range.py configure

编辑 attack_range.conf，自定义 Splunk 版本、主机类型等。

python attack_range.py build

python attack_range.py simulate -e ART -te T1059 -t ar-win-attack-range-key-pair-ar-0

示例：T1059 代表 MITRE ATT&CK 的 命令行执行 技术,ar-win-attack-range-key-pair-ar-0 代表  攻击目标 。

🎯 典型攻击场景

可以使用 Attack Range 复现以上攻击，并在 Splunk 中分析日志。

📊 在 Splunk 中分析日志

1️⃣ 查看Windows日志

index=main sourcetype=WinEventLog
| table _time, host, EventCode, Message

2️⃣ 识别异常进程

index=main sourcetype=Sysmon EventCode=1
| stats count by ParentImage, Image
| sort - count

3️⃣ 检测 Mimikatz 活动

index=main "mimikatz.exe" OR "sekurlsa::logonpasswords"

🎯 适用场景

✅ SOC 分析师：测试 SIEM 规则，优化告警精度。
✅ 红蓝对抗：演练攻击技术，验证防御措施。
✅ 安全研究员：复现 MITRE ATT&CK 技术。

🏆 结论

Splunk Attack Range 是 红队模拟、SOC 检测优化、威胁狩猎 的利器，可以帮助安全团队构建真实攻击环境，并在 SIEM 中优化检测策略。

👉 想要快速提升攻击检测能力？赶紧试试 Attack Range 吧！

🔗 官方 GitHub：Splunk Attack Range https://github.com/splunk/attack_range