jwnfld3/enterprise-incident-response-investigation

# 企业事件响应调查 该项目模拟了一场真实的企业安全调查，涉及在 Microsoft Entra ID 中检测到的可疑身份验证活动。目标是调查警报，分析身份验证日志，判断该活动是否代表账户遭到入侵，并实施适当的遏制和补救措施。 本实验演示了在企业环境中如何调查和记录与身份相关的安全事件。 ## 使用的技术 Microsoft Entra ID Microsoft 365 Windows 11 身份验证日志 Identity Protection Alerts ## 展示的技能 安全事件调查 身份验证日志分析 身份保护流程 账户入侵响应 安全文档记录 ## 调查场景 触发了一个安全警报，指示某用户账户存在异常身份验证活动。该警报提示登录尝试源自一个不熟悉的地理位置。 调查的目的是确定该活动是合法的登录尝试，还是潜在的账户入侵。 ## 调查过程 调查遵循了类似于企业 IT 安全团队中使用的事件响应流程的结构化工作流。 1. 审查身份验证日志 2. 分析登录位置和设备信息 3. 核实用户活动 4. 确定风险等级 5. 实施遏制措施 6. 记录发现和经验教训 ## 调查报告 完整的事件调查报告可在下方查看。 incident-report.md

标签：IAM, Microsoft 365, Microsoft Entra ID, PE 加载器, Windows 11, 企业安全, 威胁搜寻, 安全实验, 安全应急响应, 安全文档, 安全调查, 安全运营中心, 实验环境, 异常登录检测, 网络映射, 网络资产管理, 认证日志分析, 账户被盗, 身份与访问管理, 身份保护, 身份安全