Abdullah0417/dfir-labs

专注于 Azure (Microsoft Sentinel) 中企业遥测、威胁狩猎、事件重构和端点案例工作的 DFIR 动手实验。 ## 这证明了 - 我能够构建端到端的 Windows 遥测管道 (Sysmon + Security → AMA/DCR → Log Analytics/Sentinel)。 - 我能够从发现推进到狩猎、计划分析规则、自动化以及工作簿 (尽可能采用 rules-as-code)。 - 我能够在不发布原始证据的情况下执行端点取证案例工作 (MFT/EVTX 分类、哈希、证据链)。 ## 展示的技能 - Microsoft Sentinel (Log Analytics) 调查工作流：事件、实体、时间线 - Azure Monitor Agent (AMA) + Data Collection Rules (DCR) 遥测数据接入 - Windows 遥测：Sysmon + 安全事件日志 (认证 + 管理 + 持久化信号) - KQL 编写 + 验证 (表、连接、图表) - 检测工程：计划分析规则 + 调优笔记 + MITRE 映射 - SOAR-lite 自动化规则 (标记、严重性、分类操作) - 端点取证：EVTX 导出、MFT 解析、工件关联、可安全发布的 IOC 打包 (仅哈希/路径) - DFIR 规范：证据保留在本地；仓库包含可复现的查询 + 证明截图 + 模板 + 哈希清单 ## 实验 | 实验 | 重点 | 产出 | 状态 | |---|---|---|---| | [Lab 01 — Telemetry + SIEM Validation (Sentinel)](labs/lab-01-telemetry-siem-validation/) | 确认数据接入 + 基线遥测 | KQL 查询 + 截图 + 配置证明 | ✅ 已完成 | | [Lab 02 — Incident Reconstruction (Sentinel)](labs/lab-02-incident-reconstruction/) | 多主机时间线 + 检测 + 自动化 | KQL + 事件证明 + 分析规则 + 自动化规则 + 工作簿 | ✅ 已完成 | | [Lab 03 — Controls-to-Telemetry Audit (Sentinel)](labs/lab-03-controls-to-telemetry-audit/) | 证明哪些安全控制是可观测的 (以及盲点在哪里) | 验证 KQL 包 + 覆盖矩阵 + 分析规则 + 自动化规则 + 工作簿 | ✅ 已完成 | | [Lab 04 — Endpoint Forensics Casework (MFT/EVTX)](labs/lab-04-endpoint-forensics-casework/) | 磁盘 + 日志工件分类与关联，进而提升为检测 | 证据清单 (SHA256) + 证据链 + 时间线 + IOC 包 + 狩猎 + 分析规则 + 自动化规则 + 工作簿 | ✅ 已完成 | | Lab 05 — Memory Forensics + Cloud SecOps | Volatility 3 分类 + 将发现桥接到 Sentinel | Volatility 输出 + 狩猎 + 分析规则 + 工作簿 + 自动化 | 🔄 进行中 | | Lab 06 — Capstone Report | 将 Lab 02/04/05 整合成一份咨询级的交付物 | 最终报告 + 执行摘要 + 技术附录 + NIST CSF 映射 | 📋 计划中 | | Lab 07 — AWS GuardDuty Detection + Response | AWS 原生检测、集中化发现、自动响应 | GuardDuty + Security Hub + EventBridge + CloudTrail + Terraform IaC | 📋 计划中 | | Lab 08 — AWS IAM + S3 Misconfiguration | 态势检测 + 修复 + 合规验证 | Access Analyzer + Config rules + Security Hub + Terraform IaC | 📋 计划中 | _最后更新：2026-02-26_ ## 工具 / 技术栈 - Microsoft Sentinel + Log Analytics Workspace - Azure Monitor Agent (AMA) + Data Collection Rules (DCR) - Sysmon + Windows Security Event Logs - 端点分类工具 (在实验 VM 内): KAPE, Zimmerman's MFTECmd/EvtxECmd, Timeline Explorer - Volatility 3 (Lab 05) - 计划中 (Labs 07–08): AWS CLI, Terraform, Amazon GuardDuty, AWS Security Hub, Amazon EventBridge, AWS CloudTrail, IAM Access Analyzer, AWS Config ## 如何使用本仓库 - 打开一个实验文件夹并遵循其 `README.md`。 - 运行每个实验中 `/kql` 文件夹里的 KQL。 - 将结果与 `/screenshots` 进行对比。 - 查看 `/detections`、`/automation` 和 `/workbooks` 以获取可部署的工件 (模板/导出)。 ## 注意事项 / 安全 - 成本：闲置时关闭 VM；避免开放入站管理端口。 - 访问：优先使用 Bastion；避免公网 RDP。 - 证据：原始工件 (EVTX/MFT/转储/二进制) 绝不发布——仅包含可复现的查询、导出/模板、证明截图和哈希清单。

标签：AMSI绕过, Azure, Azure Monitor, DNS 反向解析, EVTX 分析, KQL, Libemu, Log Analytics, MFT 解析, Microsoft Sentinel, RFI远程文件包含, SOAR, Sysmon, Windows 安全, 事件重构, 威胁检测, 子域名变形, 安全合规, 安全运营, 扫描框架, 数字取证, 日志遥测, 端点取证, 网络代理, 网络安全实验, 自动化响应, 自动化脚本, 证据保全, 项目化管理