KshitizSadh/SOC-LAB
GitHub: KshitizSadh/SOC-LAB
一个分阶段的 SOC 家用实验室项目,通过集成 Microsoft Sentinel 和 CrowdStrike Falcon 模拟企业级威胁检测与事件响应全流程。
Stars: 1 | Forks: 0
# 实战 SOC 实验室:Microsoft Sentinel + CrowdStrike Falcon EDR 集成
## 项目概述
| 字段 | 详情 |
|---|---|
| **项目名称** | SIEM-EDR 实战实验室:Microsoft Sentinel & CrowdStrike Falcon |
| **作者** | Kshitiz |
| **开始日期** | |
| **状态** | 进行中 / 规划中 / 已完成 |
| **环境** | 个人实验室(Azure 免费层 + CrowdStrike Falcon 试用版) |
| **目标** | 在模拟的 SOC 工作流中,获得部署、集成和操作 SIEM(Microsoft Sentinel)以及 EDR 平台(CrowdStrike Falcon)的实践经验 |
## 目标
- [ ] 在 Azure 上搭建 Microsoft Sentinel 实例
- [ ] 在测试终端(Windows/Linux VM)上部署 CrowdStrike Falcon sensor
- [ ] 通过 data connector 将 CrowdStrike Falcon 日志集成到 Sentinel
- [ ] 构建和调整检测规则(Sentinel 中的 analytics rules,Falcon 中的自定义 IOAs)
- [ ] 模拟攻击(例如 Atomic Red Team)并端到端验证检测结果
- [ ] 练习分诊、调查和 incident response 工作流
- [ ] 记录发现、KQL 查询和经验教训
## 架构 / 实验室拓扑
```
[Attacker/Test VM] --simulated attack--> [Endpoint w/ CrowdStrike Falcon Sensor]
|
(telemetry / detections)
|
v
[CrowdStrike Falcon Console]
|
(Falcon Data Replicator / API connector)
|
v
[Microsoft Sentinel]
(Log Analytics Workspace)
|
(Analytics Rules / KQL / Workbooks)
|
v
[Incident Queue / SOAR Playbooks]
```
## 项目阶段
本项目分为多个阶段,每个阶段都在 `/phases` 下的独立文件中进行跟踪。请按顺序完成它们——每个阶段都链接到下一个阶段。
| 阶段 | 文件 | 描述 |
|---|---|---|
| 1 | [Sentinel 环境设置](phases/01-sentinel-setup.md) | Azure 订阅、Log Analytics Workspace、启用 Sentinel |
| 2 | [CrowdStrike Falcon 设置](phases/02-crowdstrike-setup.md) | Falcon 试用版注册、sensor 安装、防护策略配置 |
| 3 | [集成](phases/03-integration.md) | 将 CrowdStrike telemetry 接入 Sentinel(FDR/Event Hub/connector) |
| 4 | [检测工程](phases/04-detection-engineering.md) | Analytics rules、自定义 IOAs、KQL 查询、MITRE ATT&CK 映射 |
| 5 | [攻击模拟与验证](phases/05-attack-simulation.md) | 运行模拟攻击并验证检测覆盖率 |
| 6 | [Incident Response 工作流](phases/06-incident-response.md) | 分诊、调查、遏制和文档记录实践 |
| 7 | [总结](phases/07-wrap-up.md) | 展示的技能、经验教训、参考资料、后续步骤 |
## 文件夹结构
```
sentinel-crowdstrike-lab/
├── README.md (this file)
└── phases/
├── 01-sentinel-setup.md
├── 02-crowdstrike-setup.md
├── 03-integration.md
├── 04-detection-engineering.md
├── 05-attack-simulation.md
├── 06-incident-response.md
└── 07-wrap-up.md
```
## 快速状态跟踪器
| 阶段 | 状态 |
|---|---|
| 1. Sentinel 设置 | ⬜ 未开始 |
| 2. CrowdStrike 设置 | ⬜ 未开始 |
| 3. 集成 | ⬜ 未开始 |
| 4. 检测工程 | ⬜ 未开始 |
| 5. 攻击模拟 | ⬜ 未开始 |
| 6. Incident Response | ⬜ 未开始 |
| 7. 总结 | ⬜ 未开始 |
标签:AMSI绕过, CrowdStrike Falcon, EDR, Microsoft Sentinel, 威胁检测, 安全运营中心, 网络映射, 脆弱性评估