trinadh-dasari-cyber/splunk-threat-hunting

# 🛡️ Microsoft Sentinel SOC 家庭实验室 **学术项目 — 作为中密苏里大学 MS Cybersecurity 课程的一部分，使用 Microsoft Sentinel 构建的 SOC 监控环境** ## 概述 该项目是我在中密苏里大学 MS Cybersecurity 项目的一部分。我在 Azure 中使用 Microsoft Sentinel 设计并部署了一个基于云的 SOC 监控环境，构建了针对真实攻击模式的 KQL 检测规则，并练习了模拟一层 (tier-1) 和二层 (tier-2) SOC 分析师操作的端到端事件响应工作流。 ## 学术背景 - **机构:** 中密苏里大学 - **项目:** MS Cybersecurity - **重点:** SIEM 工程、云安全、事件响应 ## 架构 - **云服务提供商:** Microsoft Azure - **SIEM:** Microsoft Sentinel - **日志来源:** Windows 虚拟机（Security Event Logs）、Azure Activity Logs - **数据连接器:** 通过 AMA 接入的 Windows Security Events、Azure Activity ## 完成的工作 ### 基础设施 - 在 Azure 中配置 Windows 虚拟机作为日志来源 - 配置 Sentinel 工作区以建立集中式日志摄取 pipeline - 设置数据连接器以进行结构化事件摄取 ### 检测工程 构建了针对以下内容的自定义 KQL 分析规则： - **身份验证失败爆发** — 检测暴力破解登录模式 - **非工作时间登录** — 对业务时间之外的访问发出告警 - **权限提升活动** — 监控可疑的角色/组更改 ### 仪表板与可视化 - 构建 Sentinel 工作簿以随时可视化安全事件趋势 - 按严重程度、来源和时间窗口映射告警数量 ### 事件响应模拟 - 练习了完整的 IR 工作流：告警分诊 → 调查 → 时间线重建 → 修复文档记录 - 模拟了一层和二层分析师的交接场景 ## 开发的 KQL 查询 **身份验证失败爆发检测：** ``` SecurityEvent | where EventID == 4625 | summarize FailCount = count() by Account, IpAddress, bin(TimeGenerated, 5m) | where FailCount > 10 | order by FailCount desc ``` **非工作时间登录检测：** ``` SigninLogs | where TimeGenerated between (datetime(00:00) .. datetime(06:00)) | where ResultType == 0 | project TimeGenerated, UserPrincipalName, IPAddress, Location ``` ## 我学到了什么 - 如何在 Azure 中从零开始构建基于云的 SOC 环境 - KQL 检测逻辑如何将真实攻击模式转化为可操作的告警 - Sentinel 工作簿如何帮助可视化安全事件并确定其优先级 - 一层和二层 SOC 分析师如何对事件进行分诊和调查 ## 参考框架 - MITRE ATT&CK: T1110 (Brute Force), T1078 (Valid Accounts), T1078.004 (Cloud Accounts) - NIST CSF 2.0: Detect (DE.AE), Respond (RS.AN) ## 展示的技能 `Microsoft Sentinel` `KQL` `Azure` `SIEM Engineering` `Detection Rules` `Incident Response` `Log Analysis` `Threat Detection`

标签：Azure, Cloudflare, KQL, Microsoft Sentinel, MITRE ATT&CK, PoC, SIEM工程, SOC分析师, SOC实验室, Workbooks, 协议分析, 子域名变形, 学术项目, 安全事件日志, 安全可视化, 安全运营, 对抗机器学习, 异常登录检测, 扫描框架, 数据连接器, 暴力破解, 权限提升, 横向移动, 红队行动, 编程规范, 网络安全, 隐私保护