KimberleyMsengezi/Cloud-SOC-Analyst-Lab
GitHub: KimberleyMsengezi/Cloud-SOC-Analyst-Lab
基于微软 Sentinel 构建的云原生 SOC 实验室,整合 AI 检测、威胁狩猎与自动化响应的全流程安全运营实战项目。
Stars: 0 | Forks: 0
# 01 - 云原生 SOC 实验室 | Microsoft Sentinel (Azure)
## 概述
基于 Azure 上的 Microsoft Sentinel 构建并运营了一个**完整的云原生安全运营中心 (SOC)**。接入多源日志,利用 **Fusion** 和 **Microsoft Security Copilot** 启用 AI 驱动的检测,创建生产级的 KQL 分析规则,执行威胁狩猎,通过 SOAR Playbook 自动化响应,并通过调优减少误报。所有工作均映射到使用 Atomic Red Team 进行的真实世界攻击模拟。
**仓库结构**
- `/KQL-Queries` → 生产分析规则
- `/Playbooks` → Azure Logic Apps SOAR 工作流
- `/Incident-Reports` → 包含时间线与 IOC 的示例 PDF 报告
- `/Screenshots` → 仪表板、警报与 Copilot 输出
- `/Diagrams` → 架构与数据流
## 架构图
```
graph TD
A[Data Sources
• Windows Event Logs
• Entra ID Sign-in Logs
• Microsoft Defender for Endpoint
• Azure Activity] --> B[Log Analytics Workspace] B --> C[Microsoft Sentinel SIEM] C --> D[Fusion AI Engine
Multi-stage attack correlation] C --> E[Custom Analytics Rules + KQL Hunting] C --> F[Microsoft Security Copilot
Natural-language investigation] C --> G[SOAR Playbooks
Azure Logic Apps - Auto-containment] G --> H[Automated Actions
• Isolate Host
• Block IP
• Notify Teams] ```
• Windows Event Logs
• Entra ID Sign-in Logs
• Microsoft Defender for Endpoint
• Azure Activity] --> B[Log Analytics Workspace] B --> C[Microsoft Sentinel SIEM] C --> D[Fusion AI Engine
Multi-stage attack correlation] C --> E[Custom Analytics Rules + KQL Hunting] C --> F[Microsoft Security Copilot
Natural-language investigation] C --> G[SOAR Playbooks
Azure Logic Apps - Auto-containment] G --> H[Automated Actions
• Isolate Host
• Block IP
• Notify Teams] ```
标签:AMSI绕过, Atomic Red Team, Azure, Azure监控, BurpSuite集成, Cloudflare, Entra ID, Fusion AI, KQL查询, Logic Apps, Microsoft Defender, Microsoft Security Copilot, Microsoft Sentinel, MITRE ATT&CK, PE 加载器, SOAR, 事件报告, 威胁搜寻, 威胁检测, 安全实验, 安全运营中心, 攻击模拟, 数据泄露检测, 生成式AI安全, 网络安全, 网络映射, 虚拟机, 速率限制, 隐私保护, 驱动签名利用