Jnapfx/detection-engineering-lab

# 检测工程实验室 ## 概述 该仓库记录了在 Microsoft 安全生态系统（Azure、Microsoft Sentinel 和 Defender XDR）中构建云原生检测工程实验室的开发过程。 本项目的目的是以结构化和可复现的方式设计、实施和记录实用的检测工作流。虽然与 SC-200（Microsoft Security Operations Analyst）认证目标保持一致，但主要重点是实践性的检测工程和威胁调查。 这不是一个学习仓库。这是一个实施仓库。 ## 背景 在此项目之前，我使用 Wazuh 设计并运营了一个完整的 SOC 实验室，其中我： - 实施并调优了检测规则 - 模拟了与 MITRE ATT&CK 对标的对抗技术 - 调查了端点和身份验证遥测数据 - 执行了规则优化以减少误报 - 记录了检测逻辑和调查工作流 本实验室将这些能力扩展到 Microsoft 安全技术栈，重点关注基于 Sentinel 的分析、KQL 检测逻辑和 XDR 遥测关联。 ## 目标 本仓库的目标是： - 设计并记录端到端的日志摄取架构 - 开发基于 KQL 的检测规则 - 将检测映射到 MITRE ATT&CK 技术 - 执行结构化的事件调查 - 应用检测调优方法论 - 关联身份、端点和云遥测数据 - 维护可复现的实验室文档 ## 架构 该实验室完全基于云，遵循以下简化架构： Azure Virtual Machine → Azure Monitor Agent → Log Analytics Workspace → Microsoft Sentinel → Analytics Rules (KQL) → Alerts and Incidents → Investigation and Classification 所有组件均部署在 Azure 中，以模拟真实的企业监控环境。 ## 仓库结构 ``` detection-engineering-lab/ │ ├── docs/ │ ├── soc-fundamentals.md │ ├── azure-core-concepts.md │ ├── sentinel-architecture.md │ └── defender-overview.md │ ├── labs/ │ ├── lab-01-azure-foundation/ │ │ └── README.md │ │ │ ├── lab-02-log-ingestion/ │ │ └── README.md │ │ │ └── lab-03-basic-detection-rule/ │ └── README.md │ ├── kql/ │ ├── failed-logins.kql │ ├── suspicious-powershell.kql │ └── brute-force-detection.kql │ ├── detection-notes/ │ ├── mitre-mapping.md │ ├── detection-lifecycle.md │ └── tuning-methodology.md │ └── README.md ``` ## 核心关注领域 - Microsoft Sentinel 配置和数据连接器 - Log Analytics 工作区设计 - KQL 查询开发与优化 - 分析规则创建与调优 - 事件生命周期管理 - MITRE ATT&CK 映射 - 跨平台检测方法论（从 Wazuh 到 Sentinel 的过渡） ## 方法论 每个实验室实施遵循一致的结构： 1. 目标 2. 环境搭建 3. 检测逻辑 4. 查询设计 5. 事件生成 6. 调查工作流 7. 调优与改进 8. 经验教训 这确保了可重复性以及随时间推移的可衡量改进。 ## 长期方向 该项目支持在以下领域的持续成长： - 检测工程 - 威胁狩猎 - 云安全工程 - 高级安全运营 随着检测复杂性的增加和自动化能力的集成，该仓库将不断演进。

标签：AMSI绕过, Azure, Azure Monitor Agent, Cloudflare, Defender XDR, KQL, Kusto Query Language, Log Analytics Workspace, Microsoft Sentinel, MITRE ATT&CK, SC-200, 威胁检测, 安全实验室, 安全运营中心, 实验环境, 端点安全, 网络安全, 网络映射, 补丁管理, 误报优化, 身份安全, 隐私保护