Shar7q/soc-analyst-homelab

soc-analyst-homelab — [README.md](http://README.md) # SOC Analyst 家用实验室 — Microsoft Sentinel ## 项目概述 本家用实验室使用 Azure 上的 Microsoft Sentinel 复制了真实的网络安全运营中心 (SOC) 环境。它展示了在 SIEM 配置、日志引入、威胁检测、基于 KQL 的威胁狩猎以及使用 SOAR playbook 进行自动化响应方面的实践技能。 作为我从 QA 工程师向 SOC 分析师 (L1) 角色转型的一部分而构建。 架构 [Azure Activity Logs] [Microsoft Entra ID Logs] ──▶ [Log Analytics Workspace] ──▶ [Microsoft Sentinel] [Defender for Cloud] │ [Threat Intelligence Feed] ┌──────────┴──────────┐ ▼ ▼ Analytics Rules Workbooks (Auto-Detections) (Dashboards) │ ▼ Playbooks (SOAR Automation) ## 工具与技术 - **Microsoft Sentinel** — 云原生 SIEM/SOAR - **Azure Log Analytics** — 日志存储和查询 - **KQL (Kusto Query Language)** — 威胁狩猎查询 - **Microsoft Entra ID** — 身份与登录日志源 - **Microsoft Defender for Cloud** — 安全态势与警报 - **Azure Logic Apps** — Playbook 自动化 - **TAXII Threat Intelligence Feed** — 实时 IOC 引入 已配置的数据连接器 | 连接器 | 日志类型 | 目的 | | --- | --- | --- | | Azure Activity | 资源操作 | 检测罕见/可疑的 Azure 操作 | | Microsoft Entra ID | 登录与审计日志 | 暴力破解、登录失败、MFA 事件 | | Defender for Cloud | 安全警报 | 配置错误与威胁检测 | | Threat Intelligence (TAXII) | IOC (IPs, 域名, 哈希) | 将日志与实时威胁源进行匹配 | ## 检测与 KQL 查询 ### 1. 失败登录检测 SigninLogs | where ResultType != "0" | summarize FailedAttempts = count() by UserPrincipalName, IPAddress | where FailedAttempts > 3 | order by FailedAttempts desc **MITRE ATT&CK:** T1110 — Brute Force ### 2. 源自可疑 IP 的登录 SigninLogs | where RiskLevelDuringSignIn in ("medium", "high") | project TimeGenerated, UserPrincipalName, IPAddress, Location, RiskLevelDuringSignIn | order by TimeGenerated desc **MITRE ATT&CK:** T1078 — Valid Accounts ### 3. 罕见的 Azure 订阅操作 AzureActivity | where ActivityStatusValue == "Success" | summarize count() by OperationNameValue, Caller | where count_ < 3 | order by count_ asc **MITRE ATT&CK:** T1098 — Account Manipulation ### 4. 多次账户锁定 SigninLogs | where ResultType == "50053" | summarize LockoutCount = count() by UserPrincipalName, bin(TimeGenerated, 1h) | where LockoutCount > 2 **MITRE ATT&CK:** T1110.001 — Password Guessing ### 5. 非工作时间登录 SigninLogs | where ResultType == "0" | extend Hour = datetime_part("Hour", TimeGenerated) | where Hour < 6 or Hour > 22 | project TimeGenerated, UserPrincipalName, IPAddress, Location **MITRE ATT&CK:** T1078 — Valid Accounts (Off-Hours Access) MITRE ATT&CK 覆盖范围 | 检测规则 | 战术 | 技术 | | --- | --- | --- | | Brute Force Login | Credential Access | T1110 | | Suspicious IP Sign-in | Initial Access | T1078 | | Rare Subscription Operations | Persistence | T1098 | | Account Lockout Spike | Credential Access | T1110.001 | | Off-Hours Login | Defense Evasion | T1078 | ## Playbook — 自动化警报响应 构建了一个 Logic App playbook，它会在**高严重性事件**上触发并自动执行以下操作： 1. 捕获事件详细信息（标题、严重性、受影响实体） 2. 发送包含完整事件摘要的电子邮件通知 3. 向指定的 Teams/Slack 频道发布警报 *(可选)* **为什么这很重要：** 展示了对 SOAR 的理解——自动执行 SOC 分析师原本需要手动处理的 Tier 1 警报分诊任务。 ## Workbook 仪表板 为监控以下内容构建的自定义 Sentinel Workbook： - 随时间变化的失败登录尝试（折线图） - 前 10 个可疑源 IP（条形图） - 按严重性划分的活动警报（饼图） - 登录位置的地理地图 仓库结构 soc-analyst-homelab/ ├── README.md ├── setup/ │ ├── sentinel-setup.md # Step-by-step Azure + Sentinel setup │ └── data-connectors.md # Connector configuration notes ├── detections/ │ ├── failed-logins.kql │ ├── suspicious-ip-signin.kql │ ├── rare-operations.kql │ ├── account-lockout.kql │ └── off-hours-login.kql ├── playbooks/ │ └── auto-email-alert.md # Playbook setup + screenshots ├── workbooks/ │ └── soc-dashboard.md # Dashboard walkthrough + screenshots └── screenshots/ ├── sentinel-overview.png ├── analytics-rules.png ├── playbook-trigger.png └── soc-dashboard.png ## 我的收获 - 如何将来自多个 Azure 数据源的日志引入并规范化到集中的 SIEM 中 - 编写 KQL 查询以检测基于凭证的攻击、异常行为和权限滥用 - 将检测映射到 MITRE ATT&CK 战术和技术以进行结构化威胁分析 - SOAR playbook 如何通过自动化 Tier 1 警报操作来缩短平均响应时间 (MTTR) - 警报调优（减少误报）与检测覆盖范围盲区之间的区别 ## 联系方式 - LinkedIn: [linkedin.com/in/shariq-mesia-6a3304309](http://linkedin.com/in/shariq-mesia-6a3304309) - GitHub: [github.com/Shar7q](http://github.com/Shar7q)

标签：AMSI绕过, Azure, Azure Defender, KQL, Microsoft Sentinel, PB级数据处理, Playbooks, SOAR, SOC Home Lab, SOC分析师, 云端安全, 威胁情报, 威胁检测, 安全实验室, 安全运维, 安全运营中心, 安全项目, 家庭实验室, 开发者工具, 红队行动, 网络安全, 网络攻防, 网络映射, 自动化响应, 身份安全, 隐私保护