ValioCH/Hybrid-Cloud-SOC-Sentinel

# 🛡️ 混合云 SOC 架构 ### Microsoft Sentinel 与加固端点集成 ## 📑 执行摘要 实施一个端到端的安全运营中心 (SOC)，将加固的物理 Windows 11 环境与 Azure 的云原生 SIEM/SOAR (Microsoft Sentinel) 连接起来。该项目展示了从裸机优化到云原生事件检测的全栈可见性。 ## 🏗️ 技术栈 - **SIEM/SOAR:** Microsoft Sentinel | Log Analytics Workspace (LAW) - **混合基础设施:** Azure Arc | Azure Monitor Agent (AMA) - **端点:** ASUS TUF Gaming FA706L (Windows 11 Pro) - **ASR (Attack Surface Reduction):** Chris Titus WinUtil (进程数: 160 -> 118) - **身份与合规:** Microsoft Defender for Cloud | 细粒度 Windows 安全审计 - **攻击模拟:** THC Hydra (Kali Linux) ## 📂 仓库结构 - `/queries` - 生产就绪的 KQL 检测脚本。 - `/docs` - 架构里程碑和技术深度剖析。 - `/evidence` - 成功日志摄取和 SOC 可见性的证据。 ## 🚀 项目阶段与关键里程碑 ### 阶段 1：部署与管道验证 (已完成) - **加固基线:** 通过消除 OEM 预装软件和遥测，建立了受信任的操作系统基线。 - **遥测工程:** 配置数据收集规则 (DCR) 以流式传输高保真事件日志。 - **故障排查:** 解决了关键的 AMA 摄取失败和硬件级连接问题。 ### 阶段 2：混合连接与代理部署 - **挑战:** Azure Arc 入站被 `PSSecurityException` 阻止。 - **原因:** 阶段 1 加固导致的严格 PowerShell 执行策略。 - **解决方案:** 执行特定于会话的绕过： `powershell.exe -ExecutionPolicy Bypass -File .\OnboardingScript.ps1` ### 阶段 3：遥测稳定化与 Sentinel 摄取 - **挑战:** Log Analytics 中出现 48 小时的 "Heartbeat" (心跳) 间隔（未摄取安全事件）。 - **故障排查:** 通过 KQL 执行了间隔分析，揭示了策略与 AMA 的冲突。 - **解决方案:** 1. 使用针对 Event ID 4624 和 4625 的自定义 XPath 查询重新配置 DCR。 2. 对 AMA 代理执行了干净的重新部署。 - **验证:** [Heartbeat 间隔分析查询](./queries/heartbeat_analysis.kql) ### 阶段 4：攻击模拟与威胁搜寻 (已完成) - **场景:** 使用来自 Kali Linux 的 **THC Hydra** 进行受控的 RDP 暴力破解攻击。 - **观察:** Windows 账户锁定策略在第 5 次尝试后触发（第一道防线）。 - **Sentinel 分析:** 在 **Sentinel 调查图** 中追踪攻击链并可视化源 IP。 - **结果:** 部署了自定义分析规则，以便为未来的暴力破解尝试自动创建事件。 ## 🔍 检测样本 (KQL) ### [新增] 暴力破解检测 针对 **EventID 4625** (登录失败) 的高级监控。识别源 IP、目标账户和频率，以区分单次失败和自动化攻击。 - **脚本:** [brute_force_detection.kql](./queries/brute_force_detection.kql)

标签：AI合规, AMA, AMSI绕过, ASR, Attack Surface Reduction, Azure Arc, Azure Monitor Agent, Data Collection Rules, DCR, IPv6, KQL, Log Analytics, Microsoft Defender, Microsoft Sentinel, OEM清理, PB级数据处理, PowerShell, SOAR, THC Hydra, Windows 11, 威胁检测, 安全架构, 安全运维, 安全运营中心, 故障排查, 日志摄取, 混合云SOC, 端点加固, 系统加固, 网络映射, 遥测工程