faoroj/Microsoft-Sentinel-SOC-Lab

# Microsoft Sentinel SOC 实验室 ## 概述 本项目使用 Microsoft Sentinel 模拟真实的安全运营中心 (SOC) 工作流程。该实验室侧重于利用 Entra ID 登录日志和自定义检测逻辑，检测、调查和响应可疑的身份验证活动。 其目的是展示在云安全环境中进行 SIEM 配置、日志分析、威胁检测和事件响应的实践经验。 ## 目标 - 部署并配置 Microsoft Sentinel - 连接并接入 Entra ID 登录日志 - 模拟可疑的身份验证活动 - 使用 KQL 开发自定义检测规则 - 在 Sentinel 中调查安全事件 - 使用 SOC 风格的报告记录发现 - 将活动映射到 MITRE ATT&CK 技术 ## 环境 | 组件 | 技术 | |---|---| | SIEM | Microsoft Sentinel | | 日志存储 | Azure Log Analytics Workspace | | 身份源 | Microsoft Entra ID | | 云平台 | Microsoft Azure | | 查询语言 | Kusto Query Language (KQL) | ## 架构 1. 创建 Azure Log Analytics Workspace 2. 部署 Microsoft Sentinel 3. 连接 Entra ID 数据连接器以接入登录日志 4. 生成模拟身份验证活动 5. 使用 KQL 创建检测规则 6. 在 Sentinel 中调查触发的事件 架构图位于：/architecture/ ## 攻击模拟场景 生成了以下行为以模拟潜在的恶意活动： - 多次登录失败尝试（暴力破解模拟） - 反复失败后的成功登录 - 来自不同地理位置的身份验证尝试 - 可疑 IP 地址活动 模拟步骤记录于：/attack-simulation/ ## 检测工程 使用 KQL 创建了自定义检测逻辑以识别可疑模式。 ### 示例：暴力破解检测 ``` SigninLogs | where ResultType != 0 | summarize FailedAttempts = count() by UserPrincipalName, IPAddress | where FailedAttempts > 5 ``` ## 仓库结构 | 文件夹 | 描述 | |---|---| | `architecture/` | 环境设计和架构图 | | `data-sources/` | 日志接入配置和连接器验证 | | `attack-simulation/` | 用于生成模拟可疑活动的步骤 | | `detections/` | KQL 查询和检测规则配置 | | `incidents/` | 事件调查报告和分析 | | `evidence/` | 屏幕截图和支持调查的证据 |

标签：AMSI绕过, Azure, Azure Active Directory, Azure Log Analytics, EDR, Entra ID, IAM, KQL, Kusto Query Language, Microsoft Sentinel, PE 加载器, PoC, SignInLogs, 合规监控, 大学课程设计, 威胁检测, 安全调查, 安全运营中心, 实验室, 异常检测, 攻击模拟, 暴力破解, 网络安全, 网络映射, 脆弱性评估, 蜜标, 身份与访问管理, 身份安全, 隐私保护, 驱动签名利用