sunnyoncloud9/azure-sentinel-greenfield-build

# 🛡️ Sentinel 家庭实验室 — 绿地部署 SIEM [](https://azure.microsoft.com/en-us/products/microsoft-sentinel) [](https://learn.microsoft.com/en-us/kusto/query/) [](https://attack.mitre.org/) [](LICENSE) ## 📌 概述 本项目演示了一个**绿地部署的 Sentinel** — 从数据摄入、检测工程到自动化事件响应。每个组件都采用生产模式构建，并部署在真实的 Azure 环境中，不仅仅是理论。 它直接反映了企业安全团队在搭建新 SIEM 平台时所构建的系统。 ## 🎯 包含内容 | 组件 | 描述 | |-----------|-------------| | **5 条分析规则** | 映射到 MITRE ATT&CK 的 KQL 检测规则 | | **SOAR 剧本** | Logic App 自动通过 VirusTotal 丰富警报，并发送到 Teams | | **威胁狩猎查询** | 5 个假设驱动的狩猎查询，用于主动检测 | | **MITRE 覆盖率工作簿** | 检测覆盖率的可视化仪表板 | | **自定义日志解析器** | 规范化来自 Azure AD、Windows、AWS 的身份验证事件 | | **部署指南** | 带有截图的 Azure 分步设置指南 | ## 🗺️ 架构 ``` ┌──────────────────────────────────────────────────────────┐ │ DATA INGESTION LAYER │ │ Azure AD • Azure Activity • Defender for Cloud │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ LOG NORMALIZATION (ASIM) │ │ Custom KQL parser → Common auth schema │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ DETECTION ENGINEERING LAYER │ │ 5 KQL Analytics Rules → Mapped to MITRE ATT&CK │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ INCIDENT TRIAGE & SOAR │ │ Logic App → VirusTotal enrichment → Teams notification │ └──────────────────────────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────┐ │ THREAT HUNTING & VISUALIZATION │ │ Custom workbooks → MITRE coverage → Hunting queries │ └──────────────────────────────────────────────────────────┘ ``` ## 🔍 检测规则 | 规则 | MITRE 技术 | 严重性 | |------|----------------|----------| | **暴力认证** | T1110.001 — 密码猜测 | 高 → 严重 | | **不可能的旅行** | T1078.004 — 云账户 | 高 | | **可疑的 PowerShell 执行** | T1059.001 — PowerShell | 高 → 严重 | | **Azure AD 权限提升** | T1098.003 — 附加云角色 | 严重 | | **异常登录模式** | T1078 — 有效账户 | 中 → 高 | ### 应用的检测工程原则 - ✅ 内置误报抑制 - ✅ 基于上下文的严重性评分 - ✅ 每条规则均记录调优说明 - ✅ 元数据中包含 MITRE ATT&CK 映射 - ✅ 每个发现项的建议操作 ## 🤖 SOAR 剧本 — 自动化警报丰富 当事件触发时，Logic App 自动执行： 1. **提取实体**（IP、用户、主机）从警报中 2. **在 VirusTotal 中查询**每个 IP 3. **如果发现恶意指标**，更新事件严重性 4. **将摘要**发布到 Microsoft Teams 频道，并包含深度链接 这为每个警报节省了约 5-10 分钟的分析师手动工作。 ## 🔬 威胁狩猎查询 用于主动发现威胁的假设驱动狩猎： | 猎寻 | 假设 | MITRE 技术 | |------|-----------|----------------| | **横向移动** | 单个账户快速访问多个主机 | T1550 | | **DNS 数据渗出** | 异常长的子域名查询表明存在隧道 | T1048 | | **恶意 OAuth 授权** | 应用程序请求高风险权限 | T1528 | | **Office 生成 Shell** | 文档宏启动脚本解释器 | T1566.001 | | **大规模数据下载** | 数据渗出前的暂存行为 | T1074 | ## 📊 MITRE ATT&CK 覆盖率仪表板 自定义工作簿，用于可视化： - 每个战术的活动检测规则 - 检测中的严重性分布 - 覆盖率缺口及建议的后续检测 - 近期的规则触发和趋势 ## 🚀 部署 完整的分步部署指南位于 [`docs/DEPLOYMENT_GUIDE.md`](docs/DEPLOYMENT_GUIDE.md)。 **快速开始：** 1. 启动 Azure 免费套餐 2. 启用 Microsoft Sentinel（31 天免费试用） 3. 连接 3 个数据源 4. 部署 5 条分析规则 5. 部署 Logic App 剧本 6. 导入工作簿 **总部署时间：** 约 2-3 小时 **成本：** $0（Azure 免费套餐 + Sentinel 试用） ## 📁 项目结构 ``` sentinel-home-lab/ ├── detections/ # Analytics rules (KQL) │ ├── 01_brute_force_authentication.kql │ ├── 02_impossible_travel.kql │ ├── 03_suspicious_powershell.kql │ ├── 04_privilege_escalation.kql │ └── 05_anomalous_signin.kql ├── playbooks/ # SOAR automation │ └── alert_enrichment_playbook.json ├── workbooks/ # Dashboards & hunting │ ├── mitre_coverage_dashboard.json │ └── threat_hunting_queries.kql ├── parsers/ # Log normalization │ └── normalized_auth_events.kql ├── docs/ │ └── DEPLOYMENT_GUIDE.md ├── screenshots/ # Visual proof of deployment └── README.md ``` ## 💡 展示的技能 本项目展示了现代安全工程的全面性： | 技能 | 如何体现 | |-------|-----| | **检测工程** | 带有 MITRE 映射的自定义 KQL 分析规则 | | **SIEM 架构** | 绿地部署的 Sentinel 设计 | | **SOAR 自动化** | 集成多个 API 的 Logic App 剧本 | | **威胁狩猎** | 假设驱动的 KQL 狩猎查询 | | **日志规范化** | 与 ASIM 对齐的自定义解析器 | | **MITRE ATT&CK** | 完整的战术和技术映射 | | **云安全** | Azure 原生架构和 IAM | | **文档编写** | 部署指南、调优说明、运维手册 | ## 🎯 为何本项目重要 大多数安全工程师*使用* SIEM。少数人*从头构建*过一个。本项目展示了： - **架构所有权** — 设计数据流、检测逻辑和响应工作流 - **检测工程成熟度** — 编写最小化误报、最大化信号的规则 - **自动化思维** — 每条警报自动丰富，节省每一分钟分析师时间 - **威胁狩猎能力** — 主动，而非仅仅是被动响应 - **文档规范** — 生产级质量的运维手册 ## 👤 作者 **Sunny Bhardwaj** — 安全工程师 - 🔗 [领英](https://www.linkedin.com/in/bhardwajsunny/) - 💻 [GitHub](https://github.com/sunnyoncloud9) - 📧 sunnyoncloud09@gmail.com - 🏅 CySA+ | Security+ | AZ-500 | AWS SAA-C03 ## 📄 许可证 MIT 许可证 — 详情请见 [LICENSE](LICENSE)。 *旨在演示企业级检测工程和 SIEM 架构。所有检测均在真实的 Azure Sentinel 环境中测试。* ## 📸 截图 ### 分析规则 — 5 条自定义检测规则运行中  ### MITRE ATT&CK 覆盖率地图  ### Microsoft Defender 仪表板 

标签：Azure云平台, Cloudflare, KQL查询语言, Logic Apps, Microsoft Sentinel, MITRE ATT&CK, SOAR自动化, VirusTotal集成, 仪表板可视化, 信息收集自动化, 分析规则, 安全信息和事件管理, 安全运营中心, 家庭实验室, 数据摄入, 网络安全, 网络映射, 部署指南, 隐私保护