ouailkhelas/Azure-SIEM-SOC-Monitoring
GitHub: ouailkhelas/Azure-SIEM-SOC-Monitoring
基于 Microsoft Sentinel 和 Azure Log Analytics 的安全监控实验室,用于学习威胁检测与事件响应。
Stars: 0 | Forks: 0
# Azure SIEM-SOC 与入侵检测实验室
一个使用 Microsoft Sentinel 来了解 Azure 安全监控、威胁检测和事件响应的综合实践学习项目。
## 🚀架构概述
```
┌─────────────────┐ ┌─────────────────┐
│ Linux VM │ │ Windows VM │
│ (Ubuntu) │ │ (server 2019) │
└────────┬────────┘ └────────┬────────┘
│ │
└────────────┬───────────┴─────────────┬─────────┘
│ Log Analytics Agent
▼
┌────────────────────────┐
│ Log Analytics Workspace│ (Log Storage & Analysis)
│ (LAW) │
└────────────┬───────────┘
│
▼
┌────────────────────────┐
│ Microsoft Sentinel │ (SIEM/SOC Engine)
│ (Threat Detection) │
└────────────┬───────────┘
│
┌────────────┴──────────────┐
│ │
▼ ▼
┌─────────────┐ ┌──────────────┐
│ Alerts │ │ Incidents │
│ │ │ │
└─────────────┘ └──────────────┘
│ │
└───────────┬───────────────┘
▼
┌────────────────────────┐
│ SOC Dashboard │
│ (Workbooks) │
└────────────────────────┘
```
## 🎯 数据流
1. **VMs 生成日志** → 安全事件、身份验证尝试、系统活动
2. **Log Analytics 收集** → VMs 上的代理将日志发送到 LAW 工作区
3. **Sentinel 分析** → 应用分析规则来检测威胁
4. **生成告警** → 可疑活动触发告警
5. **创建事件** → 相关告警被分组为事件
6. **仪表板可视化** → Workbooks 展示安全状况
## 📍关键组件
| 组件 | 角色 | 功能 |
|-----------|------|----------|
| **Log Analytics Workspace** | 日志存储 | 所有日志的集中存储库 |
| **Microsoft Sentinel** | SIEM 引擎 | 威胁检测与关联 |
| **Linux VM (Ubuntu)** | 数据收集器 | 生成 Syslog 事件 |
| **Windows VM (Server 2019)** | 数据收集器 | 生成 Security 事件 |
| **Analytics Rules** | 威胁检测 | 自定义查询检测攻击 |
| **Incidents** | 分组告警 | 相关的安全事件 |
| **Workbooks** | 可视化 | 仪表板与报告 |
## 📍快速入门指南
### 阶段 1:部署基础设施
```
cd cloudshell/
bash deploy.sh
```
这将创建:
- Resource Group
- Virtual Network + Subnet
- Linux VM (Ubuntu 20.04) + 公网 IP
- Windows VM (Server 2019) + 公网 IP
- Log Analytics Workspace
- Network Security Group (启用 SSH/RDP)
- 两台 VMs 上的 Log Analytics 代理
### 阶段 2:启用 Sentinel 并配置
按照 `portal/sentinelconfig.md` 操作:
- 启用 Microsoft Sentinel
- 连接数据源(Security Events、Syslog)
- 创建用于威胁检测的分析规则
- 设置告警与自动化
### 阶段 3:生成并检测威胁
通过以下方式测试攻击检测:
- 尝试失败的登录(暴力破解)
- 运行可疑进程
- 进行横向移动尝试
- 在 Sentinel 中检查生成的事件
### 阶段 4:调查与分析
- 查看生成的事件
- 运行 KQL 查询(参见 `cloudshell/queries.txt`)
- 创建自定义 Workbooks
- 了解攻击模式
- 🚀故障排除
**VMs 未发送日志:**
- 验证代理是否已安装:`az vm extension list`
- 在 Log Analytics 中检查代理健康状况
- 确保 NSG 允许针对 Azure 服务的出站 443 端口
**Sentinel 中无数据:**
- 代理安装后等待 10 分钟以上
- 检查 Log Analytics 引入状态
- 验证代理配置以及正确的工作区 ID
标签:Azure, 安全实验, 安全运营中心 (SOC), 应用安全, 红队行动