justinjudefernandes/SOC-Threat-Hunting-with-Microsoft-Sentinel
GitHub: justinjudefernandes/SOC-Threat-Hunting-with-Microsoft-Sentinel
一个基于 Microsoft Sentinel 的 SOC 威胁狩猎实战项目,涵盖 SIEM 部署配置、KQL 查询开发、安全仪表板构建及网络钓鱼事件调查的完整工作流。
Stars: 0 | Forks: 0
# 使用 Microsoft Sentinel 进行 SOC 威胁狩猎
## 目标:
“使用 Microsoft Sentinel 进行 SOC 威胁狩猎”项目记录了我参与 30 天 MyDFIR Microsoft 挑战赛第 9 天迷你项目的过程。该项目的目标是构建并配置 Microsoft Sentinel 环境、执行威胁狩猎活动、开发 KQL 查询、创建安全仪表板以及调查网络钓鱼事件。通过该项目,我旨在通过使用 Microsoft 安全技术并模拟真实世界的安全监控和事件响应活动,来巩固我的 SOC 分析师技能。
## 项目概述:
本项目重点介绍如何在 Microsoft Azure 中部署和配置 Microsoft Sentinel 环境,并将其用于调查安全事件和与网络钓鱼相关的活动。
## 实验环境设置:
### 使用的工具:
- Microsoft Azure
- Microsoft Sentinel
- Log Analytics Workspace
- Microsoft Defender XDR
- Kusto Query Language (KQL)
- Microsoft Sentinel Workbooks
- AbuseIPDB
### 培养的技能:
- SIEM 部署与配置
- 威胁狩猎
- 日志分析
- KQL 查询开发
- 安全监控
- 仪表板创建
- 事件调查
- 网络钓鱼分析
### 主要交付成果:
- Microsoft Sentinel 部署
- 自定义 Workbook/仪表板创建
- 检测规则开发
- 威胁狩猎查询
- 网络钓鱼调查报告
- 事件创建与管理
## 执行步骤:
- 创建了 Azure 资源,包括:
- Resource Group
- Log Analytics Workspace
- Microsoft Sentinel
- 部署了 Microsoft Sentinel Training Lab 解决方案。
- 将 Microsoft Defender XDR 连接到 Microsoft Sentinel。
- 开发了 KQL 查询以:
- 识别恶意发件人域
- 分析 Azure 活动日志
- 调查错误事件
- 创建了自定义 Sentinel Workbook,包含:
- 活动量
- 失败用户登录前 5 名
- 恶意发件人域
- 成功的活动
- 使用事件 ID 4625 创建了检测规则,用于识别登录失败次数过多的账户。
- 调查了一封被标记为网络钓鱼但仍被允许进入环境的网络钓鱼电子邮件。
- 创建了书签并将发现转化为安全事件以进行进一步分析。
#### 关键发现:
- 一封网络钓鱼电子邮件成功绕过了电子邮件控制,尽管存在以下情况:
- SPF 失败
- DMARC 失败
- 缺少 DKIM 验证
- 高威胁置信度评分
- 发件人域使用了 typosquatting 技术来冒充 Microsoft SharePoint。
- 根据威胁情报来源,发件人 IP 具有恶意声誉。
#### 我学到了什么:
- Microsoft Sentinel 如何与 Microsoft Defender XDR 集成。
- 如何构建有效的 KQL 查询进行威胁狩猎。
- Workbook 如何提高安全数据的可见性。
- 检测规则如何自动化安全监控。
- 如果策略配置不当,网络钓鱼活动如何绕过安全控制。
- 书签和事件如何支持 SOC 调查。
#### 在生产 SOC 中我会采取的 different 做法:
- 启用更严格的电子邮件过滤和防欺骗策略。
- 为高置信度网络钓鱼电子邮件配置自动隔离操作。
- 实施域名相似性保护。
- 使用 Sentinel playbooks 自动化威胁情报扩充。
- 为网络钓鱼检测创建自动化的安全事件响应工作流。
## 调查报告:
#### 网络钓鱼邮件调查:
一封冒充 SharePoint 的网络钓鱼电子邮件在经历了多次身份验证失败和被判定为网络钓鱼后,仍被投递到了高管邮箱。
#### 使用的查询:
- MailGuard365_Threats_CL
| where ThreatVerdict contains "phish" and Direction == "Inbound"
| where Action contains "Allow" and SPFResult == "Fail" and DKIMResult == "None" and DMARCResult == "Fail"
| sort by ThreatConfidence
#### 识别出的指标:
- IP:185.220.101.55
- 域名:sh4repoint-pkwork.xyz
- 收件人:ceo@pkwork.onmicrosoft.com
- 主题:SharePoint: Board meeting documents shared with you
- 附件:Q4-Board-Meeting-Agenda.docx
- 判定:网络钓鱼(置信度:93)
- 电子邮件身份验证:SPF 失败 | DKIM 无 | DMARC 失败
- 投递状态:允许
#### 调查过程:
2026 年 6 月 11 日 07:17:42 (UTC) 收到了一封来自 sharepoint-notify@sh4repoint-pkwork.xyz 的网络钓鱼电子邮件,发件 IP 为恶意 IP 185.220.101.55(在 AbuseIPDB 上的滥用举报率为 100%)。该邮件包含一个 typosquatting URL(sh4repoint-pkwork.xyz/download/board-agenda)和一个 Word 附件(Q4-Board-Meeting-Agenda.docx)。电子邮件身份验证检查失败(SPF/DMARC 失败,DKIM 无),但尽管网络钓鱼威胁评分为 93,该邮件仍被成功投递。目前正在进行调查,以确定该链接或附件是否被访问过,并评估任何潜在的数据泄露情况。
#### 事件分析:
- 谁:恶意发件人 IP 185.220.101.55(在 AbuseIPDB 上的滥用举报率为 100%)。
- 什么事:来自 sharepoint-notify@sh4repoint-pkwork.xyz 的网络钓鱼电子邮件,包含一个 typosquatting URL 和附件 Q4‑Board‑Meeting‑Agenda.docx。
- 何时:发送于 2026‑06‑11 07:17:42 UTC,在未通过电子邮件安全检查的情况下仍被投递。
- 何地:目标为 ceo@pkwork.onmicrosoft.com,主题为“SharePoint: Board meeting documents shared with you.”
- 原因:可能旨在窃取凭据或投放恶意软件,从而入侵 CEO 的系统。
- 方式:该邮件之所以能够通过,可能是因为安全网关未配置为阻止或隔离此类威胁。
#### 建议:
- 使用威胁情报验证发件人 IP/域名;在本例中,已确认 185.220.101.55 为恶意 IP。
- 删除已识别的网络钓鱼电子邮件,并配置电子邮件安全控制,以便将来自动删除或隔离类似的网络钓鱼电子邮件。
- 启用域名相似性保护,以检测欺骗性或相似域名。
- 在组织内搜索来自 185.220.101.55 或 sh4repoint-pkwork.xyz 的任何其他电子邮件。
- 开展针对性的网络安全防范意识培训,重点包括:识别 Microsoft 365 和 SharePoint 欺骗邮件,识别 typosquatting 域名,核实意外的文件共享请求,避免点击可疑链接和附件,及时报告网络钓鱼企图,以及了解凭据窃取、恶意软件和商业电子邮件入侵 (BEC) 的风险。
## 项目总结:
通过完成该项目,我现在能够:
- 部署和配置 Microsoft Sentinel。
- 连接 Microsoft Defender XDR 数据源。
- 创建用于威胁狩猎的自定义 KQL 查询。
- 构建 Sentinel Workbook 和仪表板。
- 创建用于安全监控的检测规则。
- 使用日志数据和威胁情报调查网络钓鱼事件。
- 使用书签和事件支持 SOC 工作流。
## 影响最深远的学习体验:
网络钓鱼调查提供了最真实的 SOC 体验,它将威胁狩猎、日志分析、威胁情报验证、事件创建和补救建议结合到了一个单一的工作流中。
### 使用的工具:
- Microsoft Azure
- Microsoft Sentinel
- Log Analytics Workspace
- Microsoft Defender XDR
- Kusto Query Language (KQL)
- Microsoft Sentinel Workbooks
- AbuseIPDB
### 培养的技能:
- SIEM 部署与配置
- 威胁狩猎
- 日志分析
- KQL 查询开发
- 安全监控
- 仪表板创建
- 事件调查
- 网络钓鱼分析
### 主要交付成果:
- Microsoft Sentinel 部署
- 自定义 Workbook/仪表板创建
- 检测规则开发
- 威胁狩猎查询
- 网络钓鱼调查报告
- 事件创建与管理
## 执行步骤:
- 创建了 Azure 资源,包括:
- Resource Group
- Log Analytics Workspace
- Microsoft Sentinel
- 部署了 Microsoft Sentinel Training Lab 解决方案。
- 将 Microsoft Defender XDR 连接到 Microsoft Sentinel。
- 开发了 KQL 查询以:
- 识别恶意发件人域
- 分析 Azure 活动日志
- 调查错误事件
- 创建了自定义 Sentinel Workbook,包含:
- 活动量
- 失败用户登录前 5 名
- 恶意发件人域
- 成功的活动
- 使用事件 ID 4625 创建了检测规则,用于识别登录失败次数过多的账户。
- 调查了一封被标记为网络钓鱼但仍被允许进入环境的网络钓鱼电子邮件。
- 创建了书签并将发现转化为安全事件以进行进一步分析。
#### 关键发现:
- 一封网络钓鱼电子邮件成功绕过了电子邮件控制,尽管存在以下情况:
- SPF 失败
- DMARC 失败
- 缺少 DKIM 验证
- 高威胁置信度评分
- 发件人域使用了 typosquatting 技术来冒充 Microsoft SharePoint。
- 根据威胁情报来源,发件人 IP 具有恶意声誉。
#### 我学到了什么:
- Microsoft Sentinel 如何与 Microsoft Defender XDR 集成。
- 如何构建有效的 KQL 查询进行威胁狩猎。
- Workbook 如何提高安全数据的可见性。
- 检测规则如何自动化安全监控。
- 如果策略配置不当,网络钓鱼活动如何绕过安全控制。
- 书签和事件如何支持 SOC 调查。
#### 在生产 SOC 中我会采取的 different 做法:
- 启用更严格的电子邮件过滤和防欺骗策略。
- 为高置信度网络钓鱼电子邮件配置自动隔离操作。
- 实施域名相似性保护。
- 使用 Sentinel playbooks 自动化威胁情报扩充。
- 为网络钓鱼检测创建自动化的安全事件响应工作流。
## 调查报告:
#### 网络钓鱼邮件调查:
一封冒充 SharePoint 的网络钓鱼电子邮件在经历了多次身份验证失败和被判定为网络钓鱼后,仍被投递到了高管邮箱。
#### 使用的查询:
- MailGuard365_Threats_CL
| where ThreatVerdict contains "phish" and Direction == "Inbound"
| where Action contains "Allow" and SPFResult == "Fail" and DKIMResult == "None" and DMARCResult == "Fail"
| sort by ThreatConfidence
#### 识别出的指标:
- IP:185.220.101.55
- 域名:sh4repoint-pkwork.xyz
- 收件人:ceo@pkwork.onmicrosoft.com
- 主题:SharePoint: Board meeting documents shared with you
- 附件:Q4-Board-Meeting-Agenda.docx
- 判定:网络钓鱼(置信度:93)
- 电子邮件身份验证:SPF 失败 | DKIM 无 | DMARC 失败
- 投递状态:允许
#### 调查过程:
2026 年 6 月 11 日 07:17:42 (UTC) 收到了一封来自 sharepoint-notify@sh4repoint-pkwork.xyz 的网络钓鱼电子邮件,发件 IP 为恶意 IP 185.220.101.55(在 AbuseIPDB 上的滥用举报率为 100%)。该邮件包含一个 typosquatting URL(sh4repoint-pkwork.xyz/download/board-agenda)和一个 Word 附件(Q4-Board-Meeting-Agenda.docx)。电子邮件身份验证检查失败(SPF/DMARC 失败,DKIM 无),但尽管网络钓鱼威胁评分为 93,该邮件仍被成功投递。目前正在进行调查,以确定该链接或附件是否被访问过,并评估任何潜在的数据泄露情况。
#### 事件分析:
- 谁:恶意发件人 IP 185.220.101.55(在 AbuseIPDB 上的滥用举报率为 100%)。
- 什么事:来自 sharepoint-notify@sh4repoint-pkwork.xyz 的网络钓鱼电子邮件,包含一个 typosquatting URL 和附件 Q4‑Board‑Meeting‑Agenda.docx。
- 何时:发送于 2026‑06‑11 07:17:42 UTC,在未通过电子邮件安全检查的情况下仍被投递。
- 何地:目标为 ceo@pkwork.onmicrosoft.com,主题为“SharePoint: Board meeting documents shared with you.”
- 原因:可能旨在窃取凭据或投放恶意软件,从而入侵 CEO 的系统。
- 方式:该邮件之所以能够通过,可能是因为安全网关未配置为阻止或隔离此类威胁。
#### 建议:
- 使用威胁情报验证发件人 IP/域名;在本例中,已确认 185.220.101.55 为恶意 IP。
- 删除已识别的网络钓鱼电子邮件,并配置电子邮件安全控制,以便将来自动删除或隔离类似的网络钓鱼电子邮件。
- 启用域名相似性保护,以检测欺骗性或相似域名。
- 在组织内搜索来自 185.220.101.55 或 sh4repoint-pkwork.xyz 的任何其他电子邮件。
- 开展针对性的网络安全防范意识培训,重点包括:识别 Microsoft 365 和 SharePoint 欺骗邮件,识别 typosquatting 域名,核实意外的文件共享请求,避免点击可疑链接和附件,及时报告网络钓鱼企图,以及了解凭据窃取、恶意软件和商业电子邮件入侵 (BEC) 的风险。
## 项目总结:
通过完成该项目,我现在能够:
- 部署和配置 Microsoft Sentinel。
- 连接 Microsoft Defender XDR 数据源。
- 创建用于威胁狩猎的自定义 KQL 查询。
- 构建 Sentinel Workbook 和仪表板。
- 创建用于安全监控的检测规则。
- 使用日志数据和威胁情报调查网络钓鱼事件。
- 使用书签和事件支持 SOC 工作流。
## 影响最深远的学习体验:
网络钓鱼调查提供了最真实的 SOC 体验,它将威胁狩猎、日志分析、威胁情报验证、事件创建和补救建议结合到了一个单一的工作流中。标签:BurpSuite集成, SOC分析, 安全运营中心, 微软Sentinel, 网络安全, 网络映射, 钓鱼分析, 隐私保护