annKimani-ICS/Sentinel-SOC-Homelab

# Sentinel SOC 家庭实验室 本存储库记录了我在 Azure 中实现的 Microsoft Sentinel SOC homelab，该项目作为一个实用的蓝队项目和作品集工件。 实验室参考：[Microsoft Sentinel SIEM 全教程](https://youtu.be/g5JL2RIbThM?si=9Cf_TeIGksbErDab) ## 项目亮点 - 创建了核心 Azure 资源（`RG-SOC-Lab`、虚拟机、日志分析工作区、Sentinel 设置） - 为实验室虚拟机添加了网络分段，并使用专用虚拟网络 - 配置了从虚拟机 -> Windows 事件日志 -> 日志分析的数据收集规则（DCR）管道 - 在 Microsoft Sentinel 中连接了数据源（3 个连接器） - 使用 KQL 查询和调查安全事件 - 构建了由观察列表驱动的丰富功能和工作簿可视化 - 记录了学习成果和实施挑战 ## 捕获的证据 所有证据都在 `artifacts/screenshots/` 目录中： 1. 资源组（`NetworkWatcherRG` 和 `RG-SOC-Lab`） 2. 虚拟机（`CORP-NET-EAST-1`） 3. Microsoft Sentinel 概览（Defender 门户） 4. 数据连接器状态 5. 日志分析活动日志 6. 通过 KQL 生成的安全事件/事故 7. 观察列表配置 8. 观察列表查询结果样本 9. 工作簿可视化 10. 数据收集规则可视化器显示摄取路径 11. 用于虚拟机放置的虚拟网络 12. 全部 `RG-SOC-Lab` 资源拓扑可视化 ## 展示的技能 - Azure 资源配置和管理 - Microsoft Sentinel 入门和操作 - KQL 查询编写用于调查和丰富 - 观察列表使用和工作簿可视化 - SOC 风格的思考：遥测、分类和证据处理 ## 存储库结构 - `ABOUT.md` - 项目背景、范围和成果 - `SECURITY.md` - 漏洞报告和秘密处理策略 - `artifacts/screenshots/` - 清洁的实施证据 - `notes/lab-walkthrough.md` - 简洁的实施摘要 - `notes/lessons-learned.md` - 挑战和关键学习点 ## 安全和隐私 - 未提交任何秘密、凭据、密钥或连接字符串 - 艺术品经过清理，以供公共作品集可见 - 通过 `.gitignore` 排除了敏感的本地文件

标签：Azure, Azure Resource Management, Azure Virtual Network, Cloud Security, Data Collection, Homelab, Investigation, KQL, Log Analytics, Microsoft Sentinel, Reporting, Resource Topology, SOC Operations, Threat Hunting, Visualization, Watchlist