Splunk Attack Range 配置详解：构建安全测试环境的完整指南

Splunk Attack Range 配置详解：构建安全测试环境的完整指南

attack_range A tool that allows you to create vulnerable instrumented local or cloud environments to simulate attacks against and collect the data into Splunk 项目地址: https://gitcode.com/gh_mirrors/at/attack_range

概述

Splunk Attack Range 是一个强大的安全测试环境构建工具，它允许安全研究人员、威胁猎人和红蓝团队快速搭建包含多种安全工具和日志收集系统的测试环境。本文将深入解析 Attack Range 的核心配置文件，帮助用户理解如何根据需求定制自己的安全测试环境。

配置文件架构

Attack Range 采用两级配置架构：

1. 默认配置文件：位于 configs/attack_range_default.yml，包含所有可配置参数的默认值
2. 用户配置文件：通常命名为 attack_range.yml，用户在此文件中覆盖默认配置

当 Attack Range 启动时，系统会先读取默认配置，然后加载用户配置，后者会覆盖前者中的相同参数。

核心配置详解

通用配置 (general)

general:
  attack_range_password: "Pl3ase-k1Ll-me:p"  # 所有账户的默认密码
  cloud_provider: "aws"  # 支持aws/azure/local三种部署方式
  key_name: "attack-range-key-pair"  # SSH密钥对名称
  attack_range_name: "ar"  # 环境标识符，允许多个环境共存
  ip_whitelist: "0.0.0.0/0"  # 访问白名单，支持CIDR格式

安全建议：生产环境中务必修改默认密码并限制IP白名单范围。

安全产品集成

Attack Range 支持与主流安全产品的深度集成：

1. CrowdStrike Falcon：

   • 可配置自动部署代理并转发日志到Splunk
   • 需要提供API凭证和SQS队列信息

2. VMware Carbon Black Cloud：

   • 支持日志自动收集
   • 需要公司代码和S3存储桶信息

3. Cisco Secure Endpoint：

   • 可配置端点保护集成
   • 需要API ID和密钥

云服务提供商配置

AWS 配置

aws:
  region: "us-west-2"  # AWS区域
  private_key_path: "~/.ssh/id_rsa"  # 私钥路径
  cloudtrail: "0"  # 是否启用CloudTrail日志收集
  use_elastic_ips: "1"  # 是否使用弹性IP

最佳实践：启用CloudTrail日志收集可以全面监控AWS账户活动。

Azure 配置

azure:
  location: "West Europe"  # Azure区域
  subscription_id: "xxx"  # 订阅ID
  azure_logging: "0"  # 是否启用Azure日志

Splunk 服务器配置

splunk_server:
  install_es: "0"  # 是否安装Enterprise Security
  splunk_url: "https://download.splunk.com/..."  # Splunk下载URL
  splunk_apps:  # 可安装的Splunk应用列表
    - TA-aurora-0.2.0.tar.gz
    - TA-osquery.tar.gz
    - ...

扩展功能：

• 支持自带Splunk实例(BYO)
• 可配置BOTS数据集导入
• 可选安装Deep Learning Toolkit

操作系统配置

Windows 服务器

windows_servers_default:
  windows_image: "windows-server-2019"  # 支持2016/2019/2022
  create_domain: "0"  # 是否创建域控制器
  install_red_team_tools: "0"  # 是否安装红队工具
  bad_blood: "0"  # 是否部署Bad Blood测试数据

红队工具：启用后可自动安装常用红队工具，加速测试流程。

Linux 服务器

linux_servers_default:
  sysmon_config: "SysMonLinux-CatchAll.xml"  # Sysmon配置文件
  install_crowdstrike: "0"  # 是否安装CrowdStrike代理

网络服务配置

Attack Range 支持多种网络服务的快速部署：

1. Nginx服务器：可配置为反向代理
2. Zeek服务器：网络流量分析
3. Snort服务器：入侵检测系统
4. Kali服务器：渗透测试专用环境

配置技巧与最佳实践

1. 模块化部署：通过启用/禁用各服务配置，可以构建轻量级或全功能环境
2. 安全加固：部署后应立即修改默认凭证，限制访问IP范围
3. 日志收集优化：根据测试需求选择适当的安全产品集成
4. 版本控制：建议将配置文件纳入版本控制系统，方便团队协作和环境复制

总结

Splunk Attack Range 的配置文件设计灵活且功能全面，通过合理配置可以构建从简单到复杂的不同安全测试环境。理解这些配置选项的含义和相互关系，将帮助用户高效地搭建符合特定需求的测试平台，为安全研究、产品评估和红蓝对抗提供有力支持。

建议：初次使用时，可以先基于默认配置进行小规模测试，熟悉后再逐步扩展功能模块。

attack_range A tool that allows you to create vulnerable instrumented local or cloud environments to simulate attacks against and collect the data into Splunk 项目地址: https://gitcode.com/gh_mirrors/at/attack_range