dawnsmithcyber/Azure-MDE-SOC-Lab

# Azure-MDE-SOC-Lab 涵盖完整事件生命周期的 MDE 实战实验室：从 ASR 和漏洞管理到使用 KQL 进行威胁搜寻和自动修复 (AIR)。通过模拟横向移动和持久化等现实世界攻击模式，展示了主动、自动化驱动的 SOC 工作流程。 # 🛡️ Azure SOC Lab：Microsoft Defender for Endpoint (MDE) ### *端到端 EDR 部署、威胁搜寻与事件响应*    ## 🎯 执行摘要 本项目记录了对现代 **安全运营中心 (SOC)** 环境的高保真模拟。我利用 **Microsoft Defender for Endpoint (MDE)**，将一个易受攻击的基于云的端点从“盲”状态转变为经过加固的受监控资产。该实验室重点关注主动防御 (ASR)、被动搜寻 (KQL) 和快速修复 (AIR) 的关键结合点。 ## 🚀 关键绩效指标 (KPI) * **降低 MTTR：** 利用 **自动调查与响应 (AIR)** 将修复时间从约 30 分钟（手动）减少到 **5 分钟以内**。 * **攻击面加固：** 实施了 **15+ 条 ASR 规则**，成功阻止了 100% 测试的“Office-to-PowerShell”宏执行尝试。 * **高保真警报：** 调整检测逻辑以消除来自常用管理工具的误报，同时保持对 **PsExec** 和 **LSASS 内存转储** 的 100% 可见性。 ## 🔍 技术深入探讨 ### 1. 威胁检测与行为分析 我针对现实的攻击模式验证了 MDE 的检测能力： * **横向移动：** 捕获了用于创建远程服务的未经授权的 **PsExec** 使用。 * **凭据窃取：** 针对 **LSASS 内存转储**（Mimikatz 风格）触发了严重警报。 * **持久化：** 监控并警报了 `Run` 和 `RunOnce` 键中未经授权的 **注册表修改**。 ### 2. 攻击面减少 (ASR) 除了监控之外，我还实施了主动安全措施： * 阻止混淆脚本。 * 启用“阻止从 Windows 本地安全机构子系统窃取凭据”。 * 阻止 Office 应用程序创建可执行内容。 ### 3. 事件生命周期管理 * **遏制：** 实践了 **完全设备隔离**，以在主动入侵期间阻止横向移动。 * **调查：** 利用 **设备时间线** 和 **警报案情** 来重建攻击链。 * **响应：** 对已识别的恶意哈希执行了租户范围的文件阻止。 ## 🛠️ 工具与语言 * **Kusto Query Language (KQL)：** 用于高级威胁搜寻。 * **Microsoft Sentinel / MDE：** 集中式日志管理和警报。 * **PowerShell：** 自动化配置检查和模拟脚本。 ### 精选搜寻查询：检测注册表持久化 ``` // Identifying suspicious persistent registry keys DeviceRegistryEvents | where Timestamp > ago(24h) | where ActionType == "RegistryValueSet" | where RegistryKey has_any (@"Software\Microsoft\Windows\CurrentVersion\Run", @"Software\Microsoft\Windows\CurrentVersion\RunOnce") | project Timestamp, DeviceName, RegistryKey, RegistryValueData, InitiatingProcessCommandLine | top 50 by Timestamp desc ``` ### 📁 仓库结构 * README.md - 项目概述与指标 * scripts/ - 自定义 KQL 搜寻查询 * evidence/ - 检测与修复的脱敏截图（即将推出）

标签：AIR, AI合规, ASR规则, Azure, EDR, GPT, KQL, Kusto查询语言, LSASS, MDE, Microsoft Defender for Endpoint, OpenCanary, PE 加载器, PsExec, SOC实验室, 事件生命周期, 凭据窃取, 安全运营中心, 微隔离, 攻击面减少, 横向移动, 渗透测试防御, 漏洞管理, 端点检测与响应, 编程规范, 网络安全, 网络映射, 脆弱性评估, 脱壳工具, 自动调查与响应, 速率限制, 隐私保护