shohrabniaz/sentinel-soc-lab
GitHub: shohrabniaz/sentinel-soc-lab
一个基于 Azure Sentinel 的迷你 SOC 实验室,提供 MITRE ATT&CK 映射的 KQL 检测规则、攻击场景模拟和事件响应流程文档。
Stars: 0 | Forks: 0
# Sentinel SOC Lab
Azure Sentinel 迷你 SOC,包含检测规则、攻击模拟和事件响应 runbooks。
**状态:** KQL 规则和架构文档已就绪;实时 Azure 部署将推迟,直到学生租户访问权限可用。
## 包含内容
| 文档 | 描述 |
|-----|-------------|
| [docs/architecture.md](docs/architecture.md) | 数据流图 + 组件映射 |
| [docs/attack-scenarios.md](docs/attack-scenarios.md) | 三个实验练习及 IR 检查清单 |
| [docs/detection-rules/](docs/detection-rules/) | MITRE 映射的 KQL(暴力破解、权限提升、PowerShell) |
## 计划技术栈
- Log Analytics + Microsoft Sentinel
- 带有 AMA 代理的 Windows + Linux VMs
- KQL 检测规则(MITRE 映射)
- Logic App 通知
## 成本
VMs 运行期间约为 $20–40。请在每次实验结束后销毁 VMs。
标签:KQL, Microsoft Sentinel, 安全实验室, 安全运营, 扫描框架