btncwn/Cloud-SOC-Incident-Response-Lab

# Cloud SOC 事件响应实验室 ## 概述 Cloud SOC 事件响应实验室是一个基于 Microsoft Sentinel 和 Microsoft Entra ID 的安全监控实践项目，专注于云身份调查、威胁狩猎、检测工程和安全自动化。 使用的技术： - Microsoft Sentinel - Microsoft Entra ID - Log Analytics - KQL - Azure CLI - Microsoft Defender Portal - MITRE ATT&CK ## 01 失败的身份验证调查 使用 Microsoft Sentinel SigninLogs 调查了失败的身份验证尝试。  ## 02 成功的身份验证调查 使用 Microsoft Sentinel 验证了成功的云身份验证事件。  ## 03 特权组所有者分配 使用 Microsoft Entra ID Audit Logs 调查了特权组所有权变更。  ## 04 KQL 狩猎查询 针对 Microsoft Sentinel 遥测数据开发并执行了 KQL 狩猎查询。  ## 05 Sentinel 分析规则 创建了自定义的 Microsoft Sentinel 分析规则，以支持检测工程和自动化告警生成。 ## 06 MITRE ATT&CK 映射 将观察到的云身份活动映射到 MITRE ATT&CK 技术，包括 Valid Accounts、Account Manipulation 和 OAuth 访问 token 滥用。 ## 07 OAuth 同意钓鱼调查 使用 Microsoft Entra ID Audit Logs 调查了 OAuth 同意活动和委派的权限授予。  ## 08 Service Principal 滥用调查 使用 Microsoft Entra ID Audit Logs 调查了 service principal 管理活动和非人类身份操作。  ## 09 Sentinel 日志导出流水线 构建了 Azure CLI 自动化流水线，用于查询 Microsoft Sentinel 并将遥测数据从 Log Analytics 导出到 macOS。  ## 自动化流水线 自定义 Azure CLI 自动化脚本： ``` defender-pipeline/ ├── export-defender-incidents.sh └── export-failed-signins.sh Pipeline flow: Microsoft Sentinel ↓ Log Analytics ↓ KQL Query ↓ Azure CLI ↓ macOS ↓ JSON Export Skills Demonstrated Cloud Security Monitoring SOC Investigation Incident Response Threat Hunting Detection Engineering Microsoft Sentinel Microsoft Entra ID KQL Azure CLI Security Automation MITRE ATT&CK Mapping ```

标签：KQL, Microsoft Sentinel, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 身份与访问管理