toniogonza/sentinel-detection-lab

# Microsoft Sentinel 检测实验室 **Azure | KQL | MITRE ATT&CK | 真实攻击数据** 一个在 Azure 中构建的概念验证 Microsoft Sentinel SIEM 检测实验室， 旨在演示真实的威胁检测与调查能力。 ## 实验室架构 - Log Analytics Workspace 上的 Microsoft Sentinel (sentinel-homelab-law) - 作为日志源的 Windows Server 2022 虚拟机 (sentinel-victim-vm) - 通过 Azure Monitor Agent (AMA) 获取的 Windows 安全事件 - 映射 MITRE ATT&CK 的自定义计划分析规则 ## 检测场景 | 场景 | MITRE 技术 | 状态 | |----------|----------------|--------| | 暴力破解 RDP — 多次登录失败 | T1110.001 — 密码猜测 | ✅ 已上线 | | 可疑的本地管理员账户创建 | T1136.001 — 创建本地账户 | ✅ 已上线 | | RDP 异常检测 | T1078.004 — 有效账户 | ✅ 已上线 | ## 证据与截图 ### 场景 1 — 暴力破解 RDP (T1110.001) .png) ### 场景 2 — 创建本地管理员 (T1136.001) .png) ### 场景 3 — RDP 异常检测 (T1078.004) .png) ## 关键发现 — 场景 1 - 检测到来自 IP 45.142.193.145（荷兰阿姆斯特丹）的真实暴力破解攻击 - 在 2 小时的时间窗口内，对 3 个账户进行了 29 次失败的登录尝试 - 通过 AbuseIPDB 确认了攻击者基础设施 — 405 份报告，100% 滥用置信度 - 部署了自定义 KQL 分析规则并映射至 MITRE ATT&CK T1110.001 - 遵循 SOC Tier 1 分类方法记录了事件调查过程 ## 关键发现 — 场景 2 **技术：** T1136.001 — 创建本地账户 **严重性：** 高 **状态：** 已检测 ✅ 受害机器上由用户 `labadmin` 创建了一个可疑的本地管理员账户。账户 `hackersim` 被立即添加到本地管理员组中，模拟了攻击者在获取初始访问权限后使用的后门持久化技术。 **检测到的事件：** - EventID 4720 — 新用户账户已创建：`hackersim` - EventID 4732 — 账户被添加到管理员组 **分析规则：** 已创建可疑的本地管理员账户 **KQL 文件：** 参见 `scenario2-local-admin-creation.kql` ## 关键发现 — 场景 3 **技术：** T1078.004 — 有效账户（云账户） **严重性：** 中 **状态：** 已检测 ✅ Sentinel 检测到从外部 IP 地址到受害机器的成功 RDP 登录（LogonType 10）。其中一次登录源自 IP `96.85.126.229`，该 IP 与主要的管理员会话 IP 不同，表明可能存在从异常位置使用有效凭证的情况。 **检测到的事件：** - EventID 4624 — 成功的 RDP 登录（LogonType 10） - 跨多个会话检测到多个源 IP **分析规则：** 来自异常 IP 的可疑 RDP 登录 **KQL 文件：** 参见 `scenario3-rdp-anomaly.kql` ## 使用的工具 Microsoft Sentinel | KQL | Azure Monitor Agent | Log Analytics | MITRE ATT&CK | AbuseIPDB | Microsoft Defender XDR ## 正在准备的认证 - ISC² 网络安全认证 (CC) - SC-200：Microsoft Security Operations Analyst

标签：AbuseIPDB, AMSI绕过, Azure, Azure Monitor Agent, Cloudflare, KQL, Microsoft Sentinel, MITRE ATT&CK, PoC, RDP异常, SIEM规则, SOC Triage, TGT, Windows Server 2022, 后门账户, 威胁检测, 安全取证, 安全实验室, 安全运营中心, 家庭实验室, 密码猜测, 攻击溯源, 攻防演练, 暴力破解, 本地提权, 红队模拟, 网络安全, 网络映射, 蜜罐, 证书利用, 隐私保护