fizahmad/azure-sentinel-threat-lab
GitHub: fizahmad/azure-sentinel-threat-lab
一个基于 Azure 的云 SOC 实验室,帮助用户通过 Microsoft Sentinel、KQL 和 Logic Apps 模拟攻击、检测威胁并自动化响应。
Stars: 2 | Forks: 0
# 使用 Microsoft Sentinel 的威胁检测实验室
本项目在 **Azure** 中使用 **Microsoft Sentinel** 复现安全运营中心(SOC)工作流程。
## 目标
- 在 Azure 上部署实验室环境
- 通过 Azure Arc 将 Windows 系统 onboard
- 使用已知 TTPs 模拟对手行为
- 构建自定义 **KQL** 检测规则
- 使用 **Logic Apps** 自动化告警
## 工具与技术
- **Microsoft Azure**
- Azure Arc(用于 onboard 非 Azure 机器)
- Log Analytics 工作区(集中式日志收集)
- Microsoft Sentinel(SIEM)
- Logic Apps(SOAR 自动化)
- **KQL(Kusto 查询语言)**
- 用于检测逻辑
- **攻击模拟**
- 基于 Debian 的 Linux(用于攻击模拟)
- **Markdown**
- 用于文档编写
## 仓库结构
```
azure-sentinel-threat-lab/
├── README.md # Main project overview and roadmap
├── setup/ # Initial lab setup phase
│ ├── README.md # Intro and lab goals for the setup phase
│ ├── azure_account_setup.md # Guide to creating Azure free trial account
│ ├── kali_vm_setup.md # Steps for deploying Linux VM (for attack simulation)
│ ├── sentinel_windows_onboarding.md # Connecting Windows VM logs to Sentinel
│ └── windows_vm_setup.md # Creating and configuring Windows 10 VM via Azure
├── parsers/ # KQL functions for log normalization
│ ├── README.md # How to deploy parser functions
│ ├── Sysmon-Operational-Parser.txt # Sysmon log parser
│ └── PowerShell-Operational-Parser.txt # PowerShell log parser
├── detections/ # Custom KQL rules for threat detection
├── attack-simulation/ # Simulated attacks and emulation scripts
├── automation/ # Logic Apps for alert automation
└── reports/ # Detection screenshots and incident writeups
```
## 状态
- [x] 设置指南完成
- [x] 已构建 21 个 Sentinel 分析规则(001–021)
- [x] 已添加 Sysmon 和 PowerShell 日志解析器
- [ ] 攻击模拟映射文档化
- [ ] 自动化剧本模板添加
- [ ] 测试与验证进行中
- [ ] 含截图的报告待完成
## 如何使用本实验室
1. **设置** → 按照 `setup/README.md` 构建 Azure + VM 环境。
2. **解析器** → 从 `parsers/` 部署 KQL 函数以规范化 Sysmon 和 PowerShell 日志。
3. **检测** → 将 `detections/` 中的 YAML 文件导入 Sentinel 作为计划分析规则。
4. **模拟** → 使用 `attack-simulation/README.md` 中的命令(仅限实验室)触发检测。
5. **自动化** → 从 `automation/` 部署 Logic Apps 以实现事件响应。
6. **文档** → 按照模板结构在 `reports/` 中记录发现。
## 项目目的与动机
我目前正在学习更多关于云安全与蓝队角色的知识。我创建这个实验室是为了以实践方式应用所学内容,使用 Microsoft 工具如 Azure、Sentinel、KQL 和 Logic Apps。
公开分享这些内容有助于我保持责任感,也可能帮助其他正在学习的人。
标签:AMSI绕过, Azure, Azure Arc, Debian, DevSecOps, KQL, Kusto 查询语言, Log Analytics, Logic Apps, Markdown, Microsoft Sentinel, SEO, SOAR, Windows 10, 上游代理, 威胁检测, 安全运营中心, 实验室环境, 攻击模拟, 网络映射, 自动化响应, 速率限制, 防御加固, 驱动签名利用