MyNameIsMarkel/Herramienta-SOC-con-Machine-Learning-en-Azure

# Azure 上具备机器学习能力的 SOC 工具（流量分析 + 防御） 在 Microsoft Azure 上利用机器学习进行异常流量检测和安全事件自动响应的 SOC。通过 SIEM/SOAR 集中日志，训练 ML 模型识别可疑行为，并在无需人工干预的情况下执行自动防御（IP 封禁、防火墙规则和 playbook）。 ## 第一阶段：收集数据 #### 步骤 1：启用数据源。 - 在虚拟机 (VM)、数据库和应用程序中启用诊断功能。 - 通过 Azure Arc 连接本地或其他云端的网络日志。 #### 步骤 2：集中管理。 - 创建一个 Log Analytics 工作区，作为所有日志的汇聚点。 ## 第二阶段：机器学习 #### 步骤 3：创建 ML 模型。 - 使用正常流量训练模型，使其学习什么是“正常行为”。 #### 步骤 4：发布模型。 - 将训练好的模型上传到 Endpoint，以便其他服务进行查询。 ## 第三阶段：自动防御 #### 步骤 5：配置防御措施。 - Microsoft Sentinel (SIEM/SOAR)。“如果 ML 检测到 X 攻击，则执行 Y 进行防御”。 - Azure Firewall / NSG。自动拒绝访问。 ## 第四阶段：自动化 #### 步骤 6：使用 Azure Logic Apps 或 Sentinel Playbooks。接到指令后，自动在防火墙中封禁攻击者的 IP，无需任何手动操作。 [========] #成本计算

标签：AMSI绕过, Apex, Azure Firewall, Azure Logic Apps, CISA项目, IP 地址批量处理, IP封锁, Log Analytics, Microsoft Azure, Microsoft Sentinel, ML, OISF, PE 加载器, SOAR, 云端安全, 剧本自动化, 威胁检测, 安全运营中心, 异常检测, 异常行为识别, 日志管理, 机器学习, 网络安全, 网络映射, 自动化响应, 防火墙规则, 隐私保护, 零信任架构