danwise32/enterprise-soc-sentinel-lab

# 企业级 SOC Sentinel 实验室 使用 Microsoft Sentinel 和 Entra ID 模拟企业威胁检测和身份安全的实战 SOC 实验室。 # 企业安全监控与身份保护实验室 一个使用 Microsoft Sentinel (SIEM) 和 Microsoft Entra ID (IAM) 模拟真实 SOC 环境的实战网络安全项目。 ## 本项目涵盖内容 - 使用 RBAC、MFA 和 Conditional Access 进行身份管理 - 将日志从 Entra ID 接入 Microsoft Sentinel - 使用 KQL 检测 5 种真实攻击模式 - 完整的 SOC 调查和事件报告工作流 ## 模拟的攻击场景 | # | 场景 | 严重性 | 检测方法 | |---|---|---|---| | 1 | 暴力破解攻击 | 高 | KQL — 失败登录阈值 | | 2 | 不可能移动 | 高 | KQL — 地理位置分析 | | 3 | 可疑登录行为 | 中 | KQL — IP + 时间异常 | | 4 | 权限提升 | 严重 | KQL — AuditLogs 角色分配 | | 5 | MFA 绕过尝试 | 中-高 | KQL — 旧版认证 + MFA 疲劳 | ## 使用的技术 - Microsoft Azure (免费层) - Microsoft Sentinel (SIEM/SOAR) - Microsoft Entra ID (身份提供商) - KQL (Kusto Query Language) - Microsoft Authenticator (MFA) ## 展示的关键技能 - 云端身份与访问管理 (IAM) - SIEM 配置与日志接入 - 使用自定义 KQL 分析规则进行威胁检测 - SOC 事件调查与报告 - 安全控制实施 (MFA, Conditional Access, RBAC) ## 截图 ## 项目状态 进行中 —— 实验室环境正在配置中。场景和检测将在项目推进过程中添加。 ## 作者：Daniel Owoeye-wise

标签：AMSI绕过, EDR, JSONLines, KQL, Kusto 查询语言, MFA 绕过, Microsoft Entra ID, Microsoft Sentinel, PoC, SOC 实验, 企业安全模拟, 协议分析, 威胁检测, 安全实验室, 安全运营中心, 异常登录, 暴力破解, 权限提升, 条件访问策略, 网络安全, 网络映射, 脆弱性评估, 身份与访问管理, 身份安全, 隐私保护, 零信任