resey96/azure_sentinel_brute-force_detection
GitHub: resey96/azure_sentinel_brute-force_detection
这是一个基于Microsoft Azure和Sentinel的云安全事件响应实验室,用于模拟和检测身份验证攻击。
Stars: 0 | Forks: 0
# 基于 Microsoft Sentinel 的云安全事件响应环境
本项目展示了如何设计并实施一个基于 Microsoft Azure 和 Microsoft Sentinel 的云端安全监控与事件响应环境。该环境旨在模拟基于身份验证的攻击,收集来自 Linux 和 Windows 系统的日志,并使用 Kusto 查询语言 (KQL) 检测可疑行为。
项目重点是通过集中式日志记录、基于模式的检测以及自动告警生成,来识别暴力破解和失败的身份验证尝试。
## 项目目标
- 在 Microsoft Azure 中构建一个基于云的监控环境
- 模拟基于身份验证的攻击
- 使用 Azure Monitor 和 Log Analytics 收集并集中日志
- 使用 KQL 查询检测可疑活动
- 使用 Microsoft Sentinel 分析规则生成告警
- 分析基于身份验证的攻击行为
## 架构概述
## 环境组件
| 组件 | 用途 |
| ----------------------------------- | ----------------------------------- |
| Microsoft Azure | 云基础设施平台 |
| Microsoft Sentinel | SIEM 和事件监控 |
| Log Analytics Workspace | 集中式日志存储 |
| Ubuntu Linux VM (`attackmachine`) | 模拟攻击系统 |
| Windows VM (`targetmachine`) | 受监控的目标系统 |
| Azure Monitor Agent (AMA) | 日志转发 |
| Data Collection Rule (DCR) | 定义日志收集行为 |
## 检测场景
1. **Linux SSH 暴力破解检测**
Linux 检测场景专注于识别在短时间内来自同一 IP 地址的重复失败 SSH 登录尝试。
**检测逻辑**
+ 分析 Linux syslog 数据
+ 识别重复的失败 SSH 登录尝试
+ 按源 IP 地址对失败尝试进行分组
+ 检测可疑阈值
2. **Windows 登录失败检测**
Windows 检测场景专注于使用 Windows 安全事件日志识别重复的身份验证失败尝试。
**检测逻辑**
+ 分析事件 ID 4625
+ 按账户和系统对失败登录尝试进行分组
+ 检测五分钟时间间隔内的重复失败
+ 识别潜在的凭据猜测行为
## 告警自动化
在 Microsoft Sentinel 中配置了分析规则,以便在识别到可疑的身份验证模式时自动执行检测并生成告警。
**自动化检测功能**
+ 基于阈值的告警
+ 实时日志监控
+ 基于模式的检测
+ 自动生成事件
## 主要发现
- 集中式日志记录提高了跨系统的可见性
- 基于身份验证的攻击可以通过模式分析来识别
- KQL 能够高效检测可疑行为
- 自动生成告警提高了监控效率
- 面向公众的系统持续受到外部身份验证尝试的攻击
## 展示的技能
- 云安全
- Microsoft Azure
- Microsoft Sentinel
- 日志分析
- Kusto 查询语言 (KQL)
- 检测工程
- 安全监控
- 事件分析
- 威胁检测
## 参考文献
- [1] Microsoft, “Kusto Query Language (KQL) overview,” Microsoft Learn, Mar. 6, 2025. [Online]. Available:
## 环境组件
| 组件 | 用途 |
| ----------------------------------- | ----------------------------------- |
| Microsoft Azure | 云基础设施平台 |
| Microsoft Sentinel | SIEM 和事件监控 |
| Log Analytics Workspace | 集中式日志存储 |
| Ubuntu Linux VM (`attackmachine`) | 模拟攻击系统 |
| Windows VM (`targetmachine`) | 受监控的目标系统 |
| Azure Monitor Agent (AMA) | 日志转发 |
| Data Collection Rule (DCR) | 定义日志收集行为 |
## 检测场景
1. **Linux SSH 暴力破解检测**
Linux 检测场景专注于识别在短时间内来自同一 IP 地址的重复失败 SSH 登录尝试。
**检测逻辑**
+ 分析 Linux syslog 数据
+ 识别重复的失败 SSH 登录尝试
+ 按源 IP 地址对失败尝试进行分组
+ 检测可疑阈值
2. **Windows 登录失败检测**
Windows 检测场景专注于使用 Windows 安全事件日志识别重复的身份验证失败尝试。
**检测逻辑**
+ 分析事件 ID 4625
+ 按账户和系统对失败登录尝试进行分组
+ 检测五分钟时间间隔内的重复失败
+ 识别潜在的凭据猜测行为
## 告警自动化
在 Microsoft Sentinel 中配置了分析规则,以便在识别到可疑的身份验证模式时自动执行检测并生成告警。
**自动化检测功能**
+ 基于阈值的告警
+ 实时日志监控
+ 基于模式的检测
+ 自动生成事件
## 主要发现
- 集中式日志记录提高了跨系统的可见性
- 基于身份验证的攻击可以通过模式分析来识别
- KQL 能够高效检测可疑行为
- 自动生成告警提高了监控效率
- 面向公众的系统持续受到外部身份验证尝试的攻击
## 展示的技能
- 云安全
- Microsoft Azure
- Microsoft Sentinel
- 日志分析
- Kusto 查询语言 (KQL)
- 检测工程
- 安全监控
- 事件分析
- 威胁检测
## 参考文献
- [1] Microsoft, “Kusto Query Language (KQL) overview,” Microsoft Learn, Mar. 6, 2025. [Online]. Available: 标签:AMSI绕过, KQL, Linux系统, Microsoft Azure, Microsoft Sentinel, PB级数据处理, Windows系统, 云安全实验室, 云计算, 免杀技术, 威胁检测, 安全运维, 攻击模拟, 日志收集, 暴力破解检测, 生成式AI安全, 网络安全, 虚拟机, 规则引擎, 警报生成, 认证安全, 隐私保护, 驱动签名利用