ItsMwojo/Azure-Threat-Detection-Lab

# Azure威胁检测实验室 ## 概述 这是一个搭建在微软Azure中的实践性家庭实验室，用于模拟真实攻击， 将日志导入Microsoft Sentinel，并构建自定义检测规则， 从而在Microsoft Defender XDR中触发安全事件。 ## 架构 | 资源 | 名称 | 区域 | |---|---|---| | 订阅 | ThreatLabSubscription | — | | 虚拟机 | VulnVM (Windows Server 2025) | West US 2 | | 日志分析工作区 | ThreatLabWorkspace2 | West US 2 | | Microsoft Sentinel | 位于 ThreatLabWorkspace2 | West US 2 | | 数据收集规则 | LabDCR3 | West US 2 | | Azure Monitor代理 | 运行在 VulnVM 上 | — | ## 实验阶段 ### 阶段1 — 基础架构搭建 - 创建专用Azure订阅 - 部署日志分析工作区 - 启用Microsoft Sentinel ### 阶段2 — 漏洞虚拟机 - 部署Windows Server 2025虚拟机 - 禁用Windows Defender和防火墙 - 启用WinRM - 创建弱密码本地管理员账户 - 在网络安全组中开放RDP（3389）和SMB（445）端口 ### 阶段3 — 日志管道 - 在VulnVM上安装Azure Monitor代理 - 通过AMA连接器的Windows安全事件创建数据收集规则 - 确认Sentinel中SecurityEvent表有数据填充 ### 阶段4 — 暴力破解检测 - 模拟重复失败的登录尝试 - 构建KQL检测规则：5分钟内触发3次以上失败登录 - 确认Microsoft Defender中生成事件 ### 阶段5 — 后门管理员账户检测 - 模拟攻击者创建隐藏管理员账户 - 构建KQL检测规则：监控事件ID 4720 - 确认Microsoft Defender中生成高严重性事件 ### 阶段6 — 工作簿仪表板 - 构建Sentinel工作簿，包含失败登录图表、主要目标账户表格和新管理员账户面板 ### 阶段7 — 可疑侦察命令检测 - 模拟攻击者运行常见侦察命令 - 构建KQL检测规则：通过事件ID 4688监控已知侦察进程名称 ## 内容 - [检测规则](DETECTION-RULES.md) - [问题与修复](PROBLEMS.md) - [截图](SCREENSHOTS.md) ## 关键经验总结 1. 必须在虚拟机内部验证代理状态。门户状态显示不可信，在此耗费大量时间并感到困惑。 2. 所有资源必须位于同一Azure区域，否则日志管道会静默中断。旧实验室遗留资源曾因此造成麻烦。 3. Microsoft-Event和Microsoft-SecurityEvent是写入不同表的流，容易混淆。 4. 分析规则的回溯期应设置为至少30分钟，以考虑数据摄入延迟。回溯时间不足会导致误判规则失效而反复修改。 5. SecurityEvent表在第一条事件到达前不存在，此为正常现象。 ## 使用工具 - Microsoft Azure - Microsoft Sentinel - Microsoft Defender XDR - Azure Monitor代理 - KQL（Kusto查询语言） - PowerShell

标签：AI合规, AMSI绕过, Azure Monitor Agent, KQL查询, Microsoft Azure, Microsoft Defender XDR, Microsoft Sentinel, Windows Server, 免杀技术, 后门账户检测, 威胁检测, 安全事件, 安全实验室, 工作簿仪表板, 攻击模拟, 日志集成, 暴力破解检测, 网络安全, 自定义检测规则, 隐私保护, 驱动签名利用