Zafcodes-898/SOC-Threat-Detection-Lab

# Azure SOC & SOAR 威胁检测实验室 一个完全在 Microsoft Azure 中构建的专业、实战化的云安全运营中心 (SOC) 和安全编排、自动化与响应 (SOAR) 模拟环境。 ## 📌 项目概述 本项目展示了企业级安全监控解决方案的端到端实现。它包含通过 **Microsoft Sentinel (SIEM)** 进行的集中式日志收集、与 **MITRE ATT&CK 框架**对齐的自定义检测分析，以及使用 **Azure Logic Apps (SOAR)** 的自动化事件响应。 ## 🛠️ 实验室架构与组件 * **Resource Group：** `Sec-Proj-RG` * **部署区域：** Asia Pacific (Central India) * **Virtual Network：** `Sec-Proj-VN` (Subnet: 10.0.0.0/24) * **SIEM/Log Analytics Workspace：** `SOC-Lab-Workspace` * **受害者工作区：** `Victim-VM` (Ubuntu Server 24.04 LTS) — 受监控的 endpoint，持续传输 Linux `Syslog` 和身份验证数据。 * **攻击者工作区：** `Attacker-VM` (Ubuntu Server 24.04 LTS) — 用于执行自动化攻击脚本。 ## 📂 仓库结构 ``` SOC-Threat-Detection-Lab/ ├── README.md # Project documentation and write-up ├── attack-scripts/ # Automated bash scripts used to simulate threats │ ├── ssh-brute-force.sh │ └── lateral-movement-sim.sh ├── kql-queries/ # Production-ready Kusto Query Language (KQL) detection rules │ ├── brute-force-ssh-detection.kql │ ├── lateral-movement-detection.kql │ └── threat-dashboard.kql └── playbooks/ # SOAR Automation Logic App workflow templates └── SOC-Auto-Response.json ```

标签：KQL, PE 加载器, SOAR, 应用安全, 微软Sentinel, 自动化响应