rishankpandey/Azure-Sentinel-Threat-Hunting-Lab

# Azure Sentinel 威胁狩猎实验环境 ## 概述 本项目演示了如何使用 Microsoft Azure、Microsoft Sentinel、Sysmon、Azure Monitor Agent 和 Log Analytics Workspace 构建基于云的安全运营中心 (SOC) 实验环境。 该实验环境的目标是通过收集端点遥测数据、开发 KQL 检测规则，以及通过 Microsoft Sentinel 生成安全事件，来模拟真实世界中的检测工程和威胁狩猎工作流。 ## 使用的技术 * Microsoft Azure * Microsoft Sentinel * Azure Monitor Agent (AMA) * Log Analytics Workspace * Sysmon * Kusto Query Language (KQL) ## 数据源 * Sysmon Event ID 1 – 进程创建 * Sysmon Event ID 3 – 网络连接 * Sysmon Event ID 13 – 注册表修改 * Sysmon Event ID 22 – DNS 查询 ## 检测用例 ### PowerShell 网络关联检测 将 PowerShell 执行与网络活动进行关联，以识别潜在的可疑命令执行和外部通信。 ### 注册表持久化检测 检测对常用于实现持久化的 Windows Run 注册表项的修改。 ## 主要成果 * 使用 Microsoft Sentinel 构建了云原生 SOC 实验环境 * 将 Sysmon 遥测数据集成到 Azure Log Analytics 中 * 开发了 KQL 检测和分析规则 * 生成并调查了安全事件 * 将检测映射到 MITRE ATT&CK 技术 ## 云监控 * Azure Activity Log 接入 * 云资源部署监控 * VM 生命周期监控 * 资源修改检测 ## 架构 Windows Server 2025 VM ↓ Sysmon ↓ Azure Monitor Agent ↓ Log Analytics Workspace ↓ Microsoft Sentinel ↓ 分析规则 ↓ 告警与事件

标签：KQL, Microsoft Sentinel, 安全运营中心, 网络映射