KshBlitz/Microsoft-Stack-SOC

# 企业级 SOC 学习 – Microsoft 安全运营深入解析 ## 概述 本仓库记录了一个结构化的学习项目，重点在于理解**企业安全运营中心 (SOC)** 如何在 Microsoft 安全生态系统中运作。 该项目探讨了 SOC 团队用于在企业环境中检测和响应安全事件的架构、检测逻辑、调查方法论和运营工作流。 本仓库不仅关注工具，更强调了在真实 SOC 环境中遵循的**分析思维、调查流程和运营结构**。 ## 本仓库涵盖内容 本项目探索了 Microsoft 企业安全核心技术栈的核心组件： * **Microsoft Sentinel (SIEM)**：用于集中式日志分析和检测 * **Microsoft Defender for Endpoint (EDR)**：用于端点遥测和威胁检测 * **Microsoft Entra ID**：用于身份监控和身份验证日志 * **Azure Activity Logs**：用于云安全监控 * **ServiceNow**：用于企业事件管理 * **SOAR playbooks**：用于自动化安全响应 它还涵盖了 **SOC 调查生命周期**，包括： * 安全架构和日志接入 * 使用 **KQL** 进行检测工程 * 告警分诊和事件调查 * 威胁情报富化 * SOC Runbook 和调查程序 * 事件文档记录和报告 * 企业 SOC 工单工作流 ## 企业级 SOC 工作流 典型的企业级 SOC 运营遵循结构化的调查流水线： ``` Security Event ↓ Detection Rule ↓ Alert ↓ Alert Triage ↓ Incident Creation ↓ SOC Investigation ↓ Threat Intelligence Enrichment ↓ ServiceNow Ticket ↓ Incident Resolution ``` 本仓库探讨了此工作流的每个阶段。 ## 仓库结构 本仓库围绕 SOC 运营的主要领域进行组织： ``` enterprise-soc-learning │ ├── SOC-Architecture ├── Detection-Engineering ├── Sentinel-Operations ├── Endpoint-Investigation ├── Identity-Investigation ├── Cloud-Security ├── Email-Security ├── SOC-Runbooks ├── Detection-Rules ├── Case-Studies └── SOC-Investigation-Reports ``` 每个部分包含与该领域相关的文档、检测查询或调查示例。 ## 培养技能 本项目专注于在以下领域构建知识： * 企业级 SOC 架构 * 使用 KQL 进行检测工程 * 安全事件关联 * 告警分诊方法论 * 端点和身份调查 * 威胁情报使用 * Runbook 驱动的事件响应 * SOC 事件文档记录 ## 本仓库目的 本仓库的目标是构建一个 **SOC 工程学习作品集**，以展示对以下方面的理解： * Microsoft 企业安全架构 * SOC 调查工作流 * 检测工程概念 * 事件调查方法论 * 企业安全运营流程

标签：AMSI绕过, Azure Activity Logs, Azure安全, EDR, KQL查询, Kusto, Microsoft Defender, Microsoft Entra ID, Microsoft Sentinel, Playbook, ServiceNow, SOAR, 企业安全, 取证调查, 告警分诊, 威胁情报, 威胁检测, 安全实验室, 安全架构, 安全运营, 安全运营中心, 工单系统, 开发者工具, 微软安全栈, 扫描框架, 端点检测响应, 管理员页面发现, 网络安全, 网络映射, 网络研究, 网络资产管理, 脆弱性评估, 身份安全, 隐私保护