juanrc98/microsoft-sentinel-lab
GitHub: juanrc98/microsoft-sentinel-lab
一个基于 Azure 构建的 Microsoft Sentinel SOC 实验室,提供 KQL 检测规则、MITRE ATT&CK 映射和 Logic Apps 自动化 Playbook,用于 SC-200 认证实操练习。
Stars: 1 | Forks: 0
# Microsoft Sentinel SOC 实验室
## 概述
本仓库记录了一个基于 Microsoft Azure 构建的 Microsoft Sentinel SOC 实验室的设计、部署与持续改进过程。该实验室用于检测工程、KQL 开发、事件调查以及使用 Logic Apps 进行 SOAR 自动化的实操练习。
该项目是我为 **Microsoft SC-200: Security Operations Analyst** 认证做准备的一部分,该认证考试计划于 2026 年 7 月进行。
## 目标
- 部署一个功能完备的云原生 SIEM 环境
- 构建与 MITRE ATT&CK 对应的自定义检测规则
- 开发用于威胁狩猎和调查的 KQL 查询
- 使用 Logic Apps Playbook 自动化事件响应
- 端到端地记录每个组件,作为可复用的参考资料
## 架构
资源组 → Log Analytics Workspace → Microsoft Sentinel
→ 数据连接器 (Entra ID, Windows 安全事件)
→ 分析规则 (KQL) → 事件 → Playbook (Logic Apps)
## 技术栈
| 组件 | 用途 |
|---|---|
| Microsoft Azure | 云基础设施 |
| Microsoft Sentinel | 云原生 SIEM 和 SOAR |
| Log Analytics Workspace | 日志摄取与存储 |
| Microsoft Entra ID | 身份日志 (登录, 审计) |
| KQL | 检测与威胁狩猎查询 |
| Logic Apps | SOAR 自动化 |
| MITRE ATT&CK | 检测框架映射 |
## 仓库结构
```
microsoft-sentinel-lab/
├── docs/ # Architecture, setup, lessons learned
├── kql-queries/ # Detection and hunting queries
├── analytics-rules/ # Sentinel Analytics Rules (JSON exports)
├── playbooks/ # Logic Apps playbooks (JSON exports)
└── screenshots/ # Visual evidence of each milestone
```
## 项目状态
🚧 **正在积极开发中。** 每周更新一次,随着我不断学习 SC-200 课程并为实验室添加新的检测规则。
## 关于我
**Juan Rodríguez Castellano** — 正在向 Microsoft 环境下的云安全领域转型的 SOC 分析师。
[LinkedIn](https://linkedin.com/in/juanrodriguez) ·
[作品集](https://juanrc98.github.io)
标签:Azure, Cloudflare, KQL, Logic Apps, Microsoft Entra ID, Microsoft Sentinel, MITRE ATT&CK, SC-200, SOAR, SOC实验室, URL发现, 分析规则, 威胁情报, 安全实验室, 安全日志分析, 安全检测, 安全认证, 安全运营中心, 开发者工具, 网络安全, 网络映射, 自动化响应, 身份安全, 隐私保护