jwnfld3/enterprise-identity-incident-investigation

# 企业身份安全调查 本项目记录了一次模拟的企业身份安全调查，涉及在 Microsoft Entra ID 中检测到的可疑身份验证活动。 调查目标是分析身份验证日志，判断该活动是否代表潜在账户被盗用，并实施遏制与修复程序。 ## 使用的技术 Microsoft Entra ID Microsoft 365 Windows 11 身份验证日志 Identity Protection Alerts ## 展示的技能 安全事件调查 身份验证日志分析 身份安全监控 账户被盗用响应 安全文档编写 ## 调查场景 触发了一个安全警报，指示 Microsoft Entra ID 中某用户账户出现了异常身份验证活动。 该登录尝试源自与用户正常登录模式不同的地理位置。 调查目标是确定该登录活动是合法的用户行为，还是潜在的未授权访问尝试。 ## 调查工作流 1 审查身份验证日志 2 分析登录位置和设备信息 3 核实用户活动 4 确定风险等级 5 实施遏制措施 6 记录发现与经验教训 ## 调查报告 [查看事件报告](incident-report.md)

标签：Azure AD, CCTV/网络接口发现, Conpot, IAM, JSONLines, M365, Microsoft 365, PE 加载器, Windows安全, 事件处置, 企业身份安全, 威胁猎杀, 安全事件响应, 安全合规, 安全调查, 安全运营, 异地登录检测, 异常行为检测, 微软Entra ID, 扫描框架, 模拟演练, 漏洞修复, 网络代理, 网络安全培训, 认证日志分析, 账户入侵响应, 身份与访问管理, 身份保护, 零信任