abdulakimmohammed54-debug/Sentinel-Soc-Project

# Microsoft Sentinel SOC 实验室：暴力破解与编码 PowerShell 检测及自动化响应     ## 概述 本项目演示了一个完整的端到端 SOC 检测与响应流水线， 该流水线构建于 Microsoft Sentinel 中。使用 Atomic Red Team 模拟真实的攻击技术， 通过映射到 MITRE ATT&CK 的自定义 KQL 分析规则进行检测， 并利用 Logic App playbook 实现自动响应——从而复现了生产环境中的 SOC 工作流程。 ## 工具与技术 | 类别 | 工具 | |----------|------| | SIEM | Microsoft Sentinel | | 攻击模拟 | Atomic Red Team | | 查询语言 | KQL (Kusto Query Language) | | 自动化 | Azure Logic Apps | | 框架 | MITRE ATT&CK | | 云平台 | Microsoft Azure | ## 攻击场景与 MITRE ATT&CK 映射 | 攻击类型 | 战术 | 技术 ID | 描述 | |-------------|--------|--------------|-------------| | 暴力破解 | 凭证访问 | T1110 | 通过反复失败的登录尝试来获取未经授权的访问 | | 系统信息发现 | 发现 | T1082 | 在受损主机上执行系统枚举命令以收集 OS、硬件和网络详细信息 | ## 项目架构 ``` +-------------------------------+ | Atomic Red Team | | Attack Simulation | | (T1110 & T1059.001) | +-------------------------------+ ↓ +-------------------------------+ | Windows VM | | Log Generation | | (Event ID 4625 & 4688) | +-------------------------------+ ↓ +-------------------------------+ | Log Analytics Workspace | | Log Ingestion & Storage | +-------------------------------+ ↓ +-------------------------------+ | Microsoft Sentinel | | KQL Analytics Rules | | Threat Detection | +-------------------------------+ ↓ +-------------------------------+ | Incident Created | | Automatically Prioritized | +-------------------------------+ ↓ +-------------------------------+ | Logic App Playbook | | Automated Response | +-------------------------------+ ↓ ↓ ↓ +-----------+ +----------+ +----------+ | Add | | Send | | Enrich | | Comment | | Email | | Incident | | to | | Alert | | with | | Incident | | to SOC | | Details | +-----------+ +----------+ +----------+ ↓ +-------------------------------+ | Analyst Investigation | | & Incident Review | +-------------------------------+ ``` ## 攻击模拟 使用 Atomic Red Team 执行真实的对手技术， 并生成真实的遥测数据以进行检测验证。 ### 暴力破解 (T1110) - 针对目标系统模拟了反复失败的认证尝试 - 生成了 Windows 安全事件日志 (Event ID 4625) - 验证了 Sentinel 能够检测到异常的登录失败模式 ### 系统信息发现 (T1082) - 通过在目标 Windows 主机上执行系统枚举命令，模拟了入侵后的侦察行为 - 生成了 Windows 安全事件日志 (Event ID 4688) - 验证了 Sentinel 能够使用进程创建日志检测到可疑的发现活动 ## 检测 — KQL 分析规则 ### 暴力破解检测 ``` SecurityEvent | where EventID == 4625 | summarize FailedAttempts = count() by Account, IpAddress, bin(TimeGenerated, 5m) | where FailedAttempts >= 10 | project TimeGenerated, Account, IpAddress, FailedAttempts ``` ### 系统信息发现 ``` SecurityEvent | where EventID == 4799 | where CallerProcessName has "WmiPrvSE" | project TimeGenerated, Computer, SubjectUserName, TargetUserName, CallerProcessName | order by TimeGenerated desc ``` ## 自动化响应 — Logic App Playbook 在创建事件后，将触发以下自动化响应操作： - **事件评论** — 自动将调查上下文添加到事件中 - **电子邮件通知** — 向 SOC 团队发送包含事件详细信息的警报 - **事件富化** — 标记严重性、映射到 ATT&CK 技术， 并追加相关的实体数据 ## 端到端工作流程 1. Atomic Red Team 执行模拟攻击技术 2. 目标系统生成由 Log Analytics Workspace 捕获的日志 3. KQL 分析规则检测到可疑行为并触发警报 4. Microsoft Sentinel 自动创建事件并确定其优先级 5. Logic App playbook 触发自动化响应操作： - 向事件添加包含上下文的评论 - 向 SOC 发送电子邮件通知 - 使用实体和技术数据丰富事件 6. 分析师审查富化后的事件并进行调查 ## 截图 | # | 描述 | |---|-------------| | 1 | KQL 分析规则配置 | | 2 | Atomic Red Team 攻击执行 | | 3 | 在 Microsoft Sentinel 中创建的事件 | | 4 | Logic Apps 中的 Playbook 工作流 | | 5 | 自动添加到事件中的评论 | | 6 | SOC 收到的电子邮件警报 | ## 截图 📁 [查看所有截图](Screenshots/) ## 演示视频 ▶️ https://www.youtube.com/watch?v=QPKETkrW8Vo ## 展示的核心技能 - **检测工程** — 构建了具有调优阈值的自定义 KQL 规则以减少误报 - **对抗模拟** — 使用 Atomic Red Team 执行 MITRE ATT&CK 技术，生成逼真的攻击遥测数据 - **事件响应自动化** — 设计了 Logic App playbook 以自动化 SOC 分拣工作流 - **MITRE ATT&CK 对齐** — 将所有检测和模拟映射到行业标准威胁框架 - **端到端验证** — 确认了从攻击执行到自动化响应的完整流水线覆盖 ## 作者 **Abdulhakim Heyder** 网络安全专业人士 | 有志成为 SOC 分析师 https://www.linkedin.com/in/abdulhakim-heyder-20469a221/(#) | [GitHub](#)

标签：AMSI绕过, Atomic Red Team, Azure, Azure Logic Apps, Cloudflare, KQL, Kusto查询语言, Microsoft Sentinel, MITRE ATT&CK, OpenCanary, Playbook, PoC, 凭证访问, 威胁检测, 安全实验室, 安全运营中心, 执行, 攻击模拟, 数据泄露检测, 无线安全, 暴力破解, 系统信息发现, 编码PowerShell, 网络安全, 网络映射, 自动化响应, 蓝队实战, 隐私保护, 驱动签名利用