GonePhishing402/cloud-threat-hunting
GitHub: GonePhishing402/cloud-threat-hunting
一套基于 Azure 与 Microsoft Sentinel 的模块化云威胁狩猎培训方案,通过模拟数据与 CTF 练习帮助学员提升云攻击发现与调查能力。
Stars: 1 | Forks: 0
# 云威胁狩猎 VBD — Azure / Microsoft Sentinel
一个为 Azure 堆栈构建的模块化实战威胁狩猎培训。使用 Microsoft Sentinel 和模拟日志数据,帮助学员学习发现、调查和加固真实云攻击技术。
## 提供概述
| 方面 | 详情 |
|---|---|
| **交付形式** | 讲师指导、带有 CTFd 挑战的动手实验 |
| **时长** | 3 天(核心)或 5 天(完整课程 + 结业项目) |
| **平台** | Microsoft Sentinel、日志分析、Azure 静态 Web 应用 |
| **受众** | SOC 分析人员、威胁狩猎者、云安全工程师 |
| **先决条件** | 基础 KQL、熟悉 Azure 门户 |
## 模块
| # | 模块 | 重点 |
|---|---|---|
| 00 | [威胁狩猎方法论](modules/00-methodology/) | 狩猎循环、MITRE ATT&CK 云、云特定考虑 |
| 01 | [网络钓鱼](modules/01-phishing/) | 非法授权授予、AiTM、设备代码网络钓鱼 |
| 02 | [令牌滥用](modules/02-token-abuse/) | OAuth/刷新令牌重放、PRT 滥用、令牌提取 |
| 03 | [逻辑应用滥用](modules/03-logic-app-abuse/) | 横向移动、利用托管标识进行权限提升、持久化 |
| 04 | [存储与密钥保管库](modules/04-storage-keyvault/) | SAS 令牌滥用、秘密外泄、密钥提取 |
| 05 | [持久化](modules/05-persistence-identities/) | 服务主体、联合身份凭证、托管身份 |
| 06 | [加固结业项目](modules/06-hardening-capstone/) | 纵深防御综合、差距分析、检测规则部署 |
| 07 | [日志启用](modules/07-logging-enablement/) | 诊断设置、工作区设计、摄入成本、保留策略 |
## 交付成果
- **Sentinel 工作簿** — 交互式狩猎工作簿,部署到客户 Sentinel 工作区([模板](sentinel-workbook/))
- **Huntability 应用** — Azure 静态 Web 应用,用于按攻击类别自测狩猎准备度([源码](huntability-app/))
- **CTFd 挑战** — 每模块 3–5 个标志,难度递进,支持排行榜
- **模拟数据** — 每模块的预构建 JSON 日志集,可导入 Sentinel 或离线查询
## 仓库结构
```
cloud-threat-hunting-vbd/
├── modules/
│ ├── 00-methodology/
│ ├── 01-phishing/
│ ├── 02-token-abuse/
│ ├── 03-logic-app-abuse/
│ ├── 04-storage-keyvault/
│ ├── 05-persistence-identities/
│ ├── 06-hardening-capstone/
│ └── 07-logging-enablement/
├── sentinel-workbook/
├── huntability-app/
├── infrastructure/
└── delivery-guides/
```
## 快速开始
### 实验环境搭建
1. 部署实验 Sentinel 工作区:
```bash
az deployment group create \
--resource-group \
--template-file infrastructure/lab-environment.bicep \
--parameters workspaceName=
```
2. 导入目标模块的模拟数据:
```bash
.\infrastructure\Invoke-DataIngestion.ps1 -ModulePath modules/01-phishing/emulated-data -WorkspaceId -WorkspaceKey
```
3. 部署 Sentinel 工作簿:
```bash
az deployment group create \
--resource-group \
--template-file sentinel-workbook/workbook-template.json
```
4. 启动 CTFd 并导入该模块的挑战包。
### 练习增强
本 VBD 旨在遵循“练习(攻击模拟)— 威胁狩猎 VBD”流程:
- **练习** → “这是攻击者在你的环境中实际做了什么”
- **威胁狩猎 VBD** → “这是你如何自行发现它们”
建议:第 1 周进行练习 → 第 2 周进行 VBD,或在练习后 2–4 周再交付 VBD。
## 贡献
每个模块遵循一致的结构。请参考 [delivery-guides/instructor-guide.md](delivery-guides/instructor-guide.md) 获取内容标准和编写指南。
## 许可证
仅限内部使用,不得在组织外部分发。
标签:AiTM, AI合规, AMSI绕过, Azure, Azure Static Web Apps, BurpSuite集成, Huntability App, KQL, Log Analytics, Microsoft Sentinel, MITRE ATT&CK Cloud, OAuth 令牌重放, PRT 滥用, 云安全工程师, 令牌提取, 令牌滥用, 加固, 动手实验, 后端开发, 威胁检测, 威胁猎人, 存储与密钥库滥用, 安全培训, 密钥提取, 工作区设计, 工作簿, 成本优化, 托管标识, 持久化标识, 摄入成本, 数据保留, 日志启用, 服务主体, 检测规则部署, 特权提升, 自动化部署, 讲师指导, 设备代码钓鱼, 诊断设置, 逻辑应用滥用, 钓鱼, 防御纵深, 非法授权