rypeguero/logn-pacific-cyber-range

GitHub: rypeguero/logn-pacific-cyber-range

一个记录使用 Microsoft Sentinel、Defender for Endpoint、KQL 和 Tenable.io 进行 SOC 蓝队实战练习的学习仓库,涵盖告警分诊、威胁狩猎和漏洞管理等防御性安全运营场景。

Stars: 0 | Forks: 0

# Log(N) Pacific SOC 网络靶场 本仓库记录了我使用 **Microsoft Sentinel、Microsoft Defender for Endpoint、Kusto Query Language (KQL)、Azure 和 Tenable.io** 进行告警分诊、威胁狩猎和漏洞管理实践的动手安全运营中心 (SOC) 网络靶场练习。 本仓库的目的是展示我在受控环境中调查告警、审查日志、分析端点活动、确定漏洞优先级以及记录修复步骤的流程。 ## 目的 该网络靶场专注于培养 SOC 分析师和安全分析师角色中所使用的实用蓝队技能。 主要目标是练习: - 告警分诊 - 安全事件调查 - 基于 KQL 的日志分析 - 端点检测与响应 (EDR) 审查 - 可疑身份验证分析 - 漏洞扫描和优先级排序 - 修复规划 - 事件记录 - 将活动映射到 MITRE ATT&CK - 在面试场合中清晰地解释发现 ## 技术栈 - **Microsoft Sentinel** 用于安全信息和事件管理 (SIEM) - **Microsoft Defender for Endpoint** 用于端点检测与响应 - **Kusto Query Language (KQL)** 用于查询日志和狩猎可疑活动 - **Azure** 用于云安全监控和配置审查 - **Tenable.io** 用于漏洞扫描和修复跟踪 - **MITRE ATT&CK** 用于映射对手行为 - **NIST** 用于事件响应和安全框架对齐 ## 本仓库将包含的内容 本仓库将包含精选的网络靶场报告和技术笔记,例如: - Microsoft Sentinel 告警调查 - Microsoft Defender for Endpoint 告警审查 - 用于日志分析的 KQL 查询 - 可疑登录和身份验证调查 - 端点活动分析 - 漏洞扫描摘要 - 基于通用漏洞评分系统 (CVSS) 的优先级排序 - Tenable.io 修复跟踪示例 - 事件响应笔记 - 检测逻辑文档 - 从每次调查中吸取的经验教训 ## 调查格式 每个案例研究都将遵循一致的结构: 1. **目标** 2. **场景摘要** 3. **使用的工具** 4. **告警或发现摘要** 5. **审查的证据** 6. **分析** 7. **MITRE ATT&CK 映射** 8. **严重性和影响** 9. **建议的修复措施** 10. **验证步骤** 11. **经验教训** 12. **面试谈论点** ## 当前重点 我目前使用本仓库来记录涉及 Microsoft 安全工具和漏洞管理工作流的 SOC 网络靶场实践。 我的重点是学习如何: - 阅读和解释告警 - 提出正确的调查问题 - 将可疑活动与正常行为区分开来 - 使用 KQL 查找相关证据 - 根据风险确定漏洞的优先级 - 建议切实可行的遏制和修复步骤 - 编写清晰的分析师风格文档 ## 案例研究主题示例 计划的报告可能包括: - 使用 Microsoft Sentinel 调查失败的登录 - 可疑登录活动审查 - Defender for Endpoint 告警分诊 - 使用 Tenable.io 审查漏洞扫描 - 高危漏洞修复计划 - 基础 KQL 狩猎查询解析 - Azure 安全配置审查 - 事件时间线重建 ## 专业说明 本仓库基于受控的网络靶场实践和防御性安全学习。其目的是展示调查推理、安全文档、修复规划以及基础的蓝队能力。 本仓库中不包含任何敏感、私密或未经授权的数据。
标签:EDR, GPT, KQL, 微软Sentinel, 漏洞管理, 脆弱性评估