NtsikaTech/microsoft-sentinel-threat-hunting-lab

# Microsoft Sentinel 威胁狩猎实验室 ## 概述 本项目记录了在 Azure 上构建 Microsoft Sentinel SOC 环境的端到端过程。当前阶段侧重于基础设施配置、日志引入配置，以及对来自已启用 Azure Arc 的 Linux 机器的遥测数据进行验证。基于 Ubuntu 的 Syslog 数据现在正通过 Azure Monitor Agent 和 Data Collection Rules 持续流入 Microsoft Sentinel。后续阶段将引入基于 KQL 的检测规则、自定义分析规则、威胁狩猎工作流以及模拟的 SOC 调查。 ## 环境 | 组件 | 状态 | |---|---| | Azure Resource Group | ✅ 已配置 | | Log Analytics Workspace | ✅ 已配置 | | Microsoft Sentinel | ✅ 已启用 | | Microsoft Defender XDR | ✅ 已连接 | | Data Connectors & Ingestion | ✅ 已连接 | | 检测规则（分析规则） | ✅ 已连接 | | 威胁狩猎查询（KQL） | 🔜 即将推出 | | SOC 调查 Playbook | 🔜 即将推出 | ## 路线图 ### 第一阶段 — 基础设施（已完成） - [x] 创建 Azure Resource Group - [x] 配置 Log Analytics Workspace - [x] 启用 Microsoft Sentinel - [x] 连接 Microsoft Defender XDR - [x] 配置数据引入 pipeline - [x] 验证并规范化日志源 - [x] Ubuntu 集成 ### 第二阶段 — 检测工程（即将推出） - [ ] 自定义 KQL 分析规则 - [ ] 基于 MITRE ATT&CK 映射的检测 - [ ] 告警调优与误报减少 - [ ] Watchlist 和威胁情报集成 ### 第三阶段 — SOC 调查模拟（即将推出） - [ ] 模拟攻击场景（例如横向移动、凭证访问） - [ ] 端到端事件调查演练 - [ ] 自动化响应 playbook（Logic Apps / SOAR） - [ ] 指标与检测覆盖率报告 ## 技术栈 - **SIEM:** Microsoft Sentinel - **云:** Microsoft Azure - **XDR:** Microsoft Defender XDR - **查询语言:** KQL (Kusto Query Language) - **自动化:** Azure Logic Apps - **框架:** MITRE ATT&CK ## 目的 本实验室展示了在云原生环境中使用 Microsoft Sentinel 和 Microsoft Defender XDR 进行威胁狩猎和事件调查等实用的 SOC 工程技能，包括检测规则的开发。每个阶段都记录了配置说明、基本原理以及经验教训——并在整个过程中融入了 SOAR 自动化和 MITRE ATT&CK 覆盖。 *[网络安全作品集](https://github.com/your-username) 的一部分 — 另请参阅：Windows 安全日志分析器 · IOC 丰富与威胁情报引擎 · 网络安全监控与 SOC 模拟引擎*

标签：Azure, KQL, Microsoft Sentinel, PE 加载器, SOC实验环境