ItsBenign-Pavan/Azure-SOC-simulation-project

## 🎯 项目目标 本项目旨在通过专注于**威胁检测、调查与响应**来模拟真实的 SOC 环境，而非仅仅进行资源部署。 主要目标包括： - 🔍 **模拟真实攻击场景** - 生成暴力破解登录尝试 (Event ID 4625) - 在受监控的 VM 上模拟可疑活动 - 📥 **集中化和规范化日志** - 将 Windows 安全事件引入 Log Analytics Workspace - 确保使用 Microsoft Sentinel 实现跨端点的可见性 - 🧠 **开发威胁检测逻辑** - 编写 KQL 查询以识别异常和可疑模式 - 检测暴力破解尝试、账户滥用和异常行为 - 🚨 **构建检测与告警机制** - 创建分析规则，根据攻击模式触发告警 - 调优规则以减少误报 - 🧾 **进行事件调查** - 分析在 Microsoft Sentinel 中生成的告警 - 关联日志以了解攻击时间线和影响 - ⚡ **自动化响应 (SOAR)** - 使用 Logic Apps 设计运行手册 - 自动化操作，如告警通知或 IP 阻止 - 🎯 **将检测映射到 MITRE ATT&CK 框架** - 将攻击模拟与真实世界战术（例如，凭据访问、初始访问）对齐 - 📊 **构建安全可见性** - 创建用于监控威胁和趋势的仪表板/工作簿 ## 🛠️ 使用的工具与服务 - Microsoft Azure - Microsoft Sentinel - Log Analytics Workspace - Azure 虚拟机 (Windows) - 网络安全组 (NSG) - Kusto 查询语言 (KQL) ## 🏗️ 实验室架构 *(在 `/architecture` 文件夹中添加架构图)* **示例流程：** VM → Log Analytics 代理 → Log Analytics Workspace → Microsoft Sentinel → 告警与事件 ## 📂 项目结构 azure-soc-lab/
│
├── README.md
├── architecture/
├── screenshots/
│
├── 01-azure-setup/
├── 02-virtual-machine/
├── 03-sentinel-setup/
├── 04-log-ingestion/
├── 05-kql-queries/
├── 06-detection-rules/
├── 07-incident-response/
├── 08-playbooks/
## 🚀 项目里程碑 ### 1️⃣ Azure 环境设置 - 创建了 Azure 账户并配置了资源组 ### 2️⃣ 虚拟机部署 - 部署了 Windows VM - 配置了 RDP 访问和 NSG 规则 ### 3️⃣ Microsoft Sentinel 设置 - 创建了 Log Analytics Workspace - 启用了 Microsoft Sentinel ### 4️⃣ 日志引入 - 将 VM 连接到 Log Analytics - 验证了安全日志引入 ### 5️⃣ KQL 查询 - 编写了查询以检测： - 失败的登录尝试 - 可疑活动 ### 6️⃣ 检测规则 - 基于 KQL 查询创建了分析规则 - 为可疑事件生成了告警 ### 7️⃣ 事件响应 - 在 Sentinel 内调查了告警 - 分析了日志和事件模式 ### 8️⃣ 运行手册 (可选/后续) - 使用 Logic Apps 实现响应自动化 ## 🔍 示例 KQL 查询 ``` SecurityEvent | where EventID == 4625 | summarize FailedAttempts = count() by Account | sort by FailedAttempts desc ```

标签：AMSI绕过, Azure, Azure安全, Azure虚拟机, Cloudflare, KQL, KQL学习, KQL查询, Log Analytics, Microsoft Sentinel, MITRE ATT&CK, SOAR, SOC教程, SOC模拟, 事件调查, 云安全实验, 免杀技术, 分析规则, 威胁检测, 威胁检测工程, 威胁检测项目, 安全仪表板, 攻击场景, 攻击模拟, 日志摄入, 暴力破解检测, 网络安全组, 自动化响应, 速率限制, 遥测数据, 驱动签名利用