UzmaSami/Project-5-Azure-Incident-Response-Automation

# Azure 事件响应自动化 ## 概述 基于 Microsoft Sentinel 和 Logic Apps playbook 构建的完整自动事件响应系统，能够自动检测并响应安全威胁，耗时不到 30 秒——每周 7 天、每天 24 小时无需人工干预。 *工程师:* Uzma Shabbir | AZ-104 | AZ-500 *平台:* Microsoft Sentinel + Logic Apps *区域:* UK South ## 架构  ## 检测并自动响应的威胁 | 威胁 | 检测方式 | 自动响应 | |--------|-----------|--------------| | 暴力破解 | 每小时 10 次以上失败 | IP 被封锁 | | 可疑登录 | 非工作时间/异地 | 用户被调查 | | 不可能旅行 | 2 小时内多国家/地区 | 账号被锁定 | | 数据窃取 | 下载 500MB 以上 | 团队收到告警 | ## 已部署的 Playbook | Playbook | 触发条件 | 操作 | |----------|---------|--------| | PB-001-Block-IP | 暴力破解 | 标记恶意 IP | | PB-002-Disable-User | 账号被盗用 | 锁定账号 | | PB-003-Alert-Team | 高严重级别 | 通知团队 | | PB-004-Capture-Evidence | 所有事件 | 存储取证数据 | ## MITRE ATT&CK 覆盖范围 - T1110 — 暴力破解 - T1078 — 有效账号 - T1530 — 云存储数据 - T1040 — 网络嗅探 ## 性能 - 检测时间：分钟级 - 响应时间：< 30 秒 - 覆盖范围：24/7 全天候自动化 - 人为错误：已降至最低 ## 部署 ``` # 启用 Sentinel .\01-sentinel-setup\enable-sentinel.ps1 # 连接 data sources .\01-sentinel-setup\connect-data-sources.ps1 # 创建 detection rules .\02-analytics-rules\rule-brute-force.ps1 .\02-analytics-rules\rule-suspicious-signin.ps1 .\02-analytics-rules\rule-impossible-travel.ps1 .\02-analytics-rules\rule-data-exfiltration.ps1 # 部署 playbooks .\03-playbooks\deploy-playbooks.ps1 # 创建 automation rules .\04-automation-rules\create-automation-rules.ps1 # 创建 watchlist .\05-watchlists\create-ip-watchlist.ps1 # 测试一切 .\07-testing\test-playbook-trigger.ps1 # 生成报告 .\08-compliance-report\generate-ir-report.ps1 ```

标签：AI合规, AMSI绕过, AZ-500, Azure Logic Apps, Azure安全, Azure自动化, DevSecOps, IP封禁, Libemu, Logic Apps, Microsoft Sentinel, SOAR, UK South, 上游代理, 不可能旅行检测, 威胁检测, 安全取证, 安全运营, 异地登录检测, 扫描框架, 数据泄露防护, 暴力破解防护, 网络安全, 网络探测, 自动化剧本, 账号冻结, 防御绕过, 隐私保护