JNewbrey87/cloud-security-lab-notes

# 云安全实验室笔记 ## 概述 这是我在 Microsoft Azure 中深入构建云安全能力时，整理的实践实验室成果、学习笔记和可重用工件的工作存档。随着认证学习和实际实验室课程的不断积累，我会持续更新这些内容。其目标是展示一个正在进行中的作品集，而不仅仅是最终成品；这里的所有内容都是我亲手构建或编写的。 ## 目录 ### KQL 查询 我为 Microsoft Sentinel 编写的 Kusto Query Language 查询，涵盖威胁检测、日志分析和安全监控用例。这些均源自 SC-200 的学习以及 Sentinel 中的实际实验室操作。 ### Sentinel 分析规则 在准备 SC-200 期间开发的 Microsoft Sentinel 自定义检测规则和告警配置。除了语法之外，每条规则背后的逻辑也都有详细记录。 ### Wazuh 检测规则 使用 Wazuh 的 XML 规则语法编写的自定义检测规则，针对 Windows 和 Linux 安全事件。规则不仅包含语法，还映射了 MITRE ATT&CK 并记录了设计原理。当前覆盖范围：T1110（暴力破解 / Event ID 4625）。 ### Azure Policy 定义 用于 Azure 环境中治理、合规性强制执行和配置管理的策略即代码工件。这是 AZ-500 认证学习的一部分，也是我长期以来的兴趣所在，即把合规性视为一项工程问题，而不仅仅是一项走过场的任务。 ### GRC 工具包实验室 使用 [GRC Engineering Club toolkit](https://github.com/GRCEngClub/claude-grc-engineering) 进行的实操差距评估工作，首先针对我自己的 GitHub 存储库进行了 SOC2 和 GLBA 评估。随着实验室的构建，这一系列实验是审计 IaC 定义的 Azure 环境的基础工作。 ### 实验室笔记 来自 SC-200、AZ-500 和 CySA+ 学习的结构化笔记，涵盖关键概念、遇到的困难以及实际应用。相比其他部分，这部分不够精炼；但更为真实。 ### 回顾性实践报告 将我职业生涯早期的案例研究整理成文档，转化为技术报告，将我实际完成的工作与现代安全概念相对应。当前条目涵盖 Linux 服务器管理和预发布环境（2015-2017），以及基于一次真实 FAA 事件（约 2020 年）开发的网络钓鱼分诊方法论。这些不是认证或实验室模拟；它们是正式发展道路之前的实际工作。 ## 认证规划 | 认证 | 状态 | |---|---| | CompTIA Security+ | 有效（至 2027 年） | | SC-200 (Microsoft Security Operations Analyst) | 未来规划 | | CySA+ | 正在学习 | | SC-500 (Microsoft Security Operations) | 未来规划 | ## 使用说明 这里的所有内容均反映了个人学习和实验室工作。不包含任何特定于雇主的数据或专有信息。查询和规则仅出于教育和作品集目的编写；如果其中有对您有用的内容，请随意取用。 ## 作者 **Joshua E. Newbrey** [LinkedIn](https://www.linkedin.com/in/jnewbrey87/) | [GitHub 主页](https://github.com/JNewbrey87)

标签：AMSI绕过, Azure Sentinel, KQL, Wazuh, 威胁检测, 安全合规, 安全运营, 扫描框架, 网络代理