rypeguero/logn-pacific-cyber-range
GitHub: rypeguero/logn-pacific-cyber-range
一个记录使用 Microsoft Sentinel、Defender for Endpoint、KQL 和 Tenable.io 进行 SOC 蓝队实战练习的学习仓库,涵盖告警分诊、威胁狩猎和漏洞管理等防御性安全运营场景。
Stars: 0 | Forks: 0
# Log(N) Pacific SOC 网络靶场
本仓库记录了我使用 **Microsoft Sentinel、Microsoft Defender for Endpoint、Kusto Query Language (KQL)、Azure 和 Tenable.io** 进行告警分诊、威胁狩猎和漏洞管理实践的动手安全运营中心 (SOC) 网络靶场练习。
本仓库的目的是展示我在受控环境中调查告警、审查日志、分析端点活动、确定漏洞优先级以及记录修复步骤的流程。
## 目的
该网络靶场专注于培养 SOC 分析师和安全分析师角色中所使用的实用蓝队技能。
主要目标是练习:
- 告警分诊
- 安全事件调查
- 基于 KQL 的日志分析
- 端点检测与响应 (EDR) 审查
- 可疑身份验证分析
- 漏洞扫描和优先级排序
- 修复规划
- 事件记录
- 将活动映射到 MITRE ATT&CK
- 在面试场合中清晰地解释发现
## 技术栈
- **Microsoft Sentinel** 用于安全信息和事件管理 (SIEM)
- **Microsoft Defender for Endpoint** 用于端点检测与响应
- **Kusto Query Language (KQL)** 用于查询日志和狩猎可疑活动
- **Azure** 用于云安全监控和配置审查
- **Tenable.io** 用于漏洞扫描和修复跟踪
- **MITRE ATT&CK** 用于映射对手行为
- **NIST** 用于事件响应和安全框架对齐
## 本仓库将包含的内容
本仓库将包含精选的网络靶场报告和技术笔记,例如:
- Microsoft Sentinel 告警调查
- Microsoft Defender for Endpoint 告警审查
- 用于日志分析的 KQL 查询
- 可疑登录和身份验证调查
- 端点活动分析
- 漏洞扫描摘要
- 基于通用漏洞评分系统 (CVSS) 的优先级排序
- Tenable.io 修复跟踪示例
- 事件响应笔记
- 检测逻辑文档
- 从每次调查中吸取的经验教训
## 调查格式
每个案例研究都将遵循一致的结构:
1. **目标**
2. **场景摘要**
3. **使用的工具**
4. **告警或发现摘要**
5. **审查的证据**
6. **分析**
7. **MITRE ATT&CK 映射**
8. **严重性和影响**
9. **建议的修复措施**
10. **验证步骤**
11. **经验教训**
12. **面试谈论点**
## 当前重点
我目前使用本仓库来记录涉及 Microsoft 安全工具和漏洞管理工作流的 SOC 网络靶场实践。
我的重点是学习如何:
- 阅读和解释告警
- 提出正确的调查问题
- 将可疑活动与正常行为区分开来
- 使用 KQL 查找相关证据
- 根据风险确定漏洞的优先级
- 建议切实可行的遏制和修复步骤
- 编写清晰的分析师风格文档
## 案例研究主题示例
计划的报告可能包括:
- 使用 Microsoft Sentinel 调查失败的登录
- 可疑登录活动审查
- Defender for Endpoint 告警分诊
- 使用 Tenable.io 审查漏洞扫描
- 高危漏洞修复计划
- 基础 KQL 狩猎查询解析
- Azure 安全配置审查
- 事件时间线重建
## 专业说明
本仓库基于受控的网络靶场实践和防御性安全学习。其目的是展示调查推理、安全文档、修复规划以及基础的蓝队能力。
本仓库中不包含任何敏感、私密或未经授权的数据。
标签:EDR, GPT, KQL, 微软Sentinel, 漏洞管理, 脆弱性评估