trhynes/azure-sentinel-threat-hunting-home-lab

# Azure Sentinel 威胁狩猎实验室 ## 项目概述 本项目演示了如何使用 Microsoft Azure 和 Microsoft Sentinel 部署基于云的威胁狩猎环境。通过 Azure Arc 和 Azure Monitor Agent (AMA) 接入了一台 Windows 11 虚拟机，以收集端点遥测数据并调查模拟的攻击者侦察活动。 该实验室的重点是收集和分析 PowerShell 活动、命令执行以及 USB 设备遥测数据，同时开发 KQL 查询、分析规则和仪表板，用于调查和监控。 ## 目标 - 部署 Microsoft Sentinel 和 Log Analytics Workspace - 通过 Azure Arc 接入 Windows 11 虚拟机 - 配置 Azure Monitor Agent (AMA) - 启用 PowerShell 和事件日志记录 - 模拟攻击者侦察技术 - 调查端点遥测数据 - 开发 KQL 狩猎查询 - 创建分析规则和仪表板 - 执行事件调查与记录 ## 使用的技术 - Microsoft Azure - Microsoft Sentinel - Azure Arc - Azure Monitor Agent (AMA) - Log Analytics Workspace - Windows 11 虚拟机 - PowerShell - Kusto Query Language (KQL) ## 实验工作流 1. 部署 Azure Resource Group 和 Log Analytics Workspace 2. 启用 Microsoft Sentinel 3. 使用 Azure Arc 接入 Windows 11 虚拟机 4. 安装 Azure Monitor Agent (AMA) 5. 启用 PowerShell 和事件日志记录 6. 模拟攻击者侦察活动 7. 在 Sentinel 中收集端点遥测数据 8. 使用 KQL 执行威胁狩猎 9. 构建分析规则和仪表板 10. 调查 USB 和 PowerShell 活动 ## 威胁模拟 执行了以下侦察命令以模拟攻击者行为： - whoami - hostname - ipconfig - Get-Process - Get-Service - Get-LocalUser - net user ## 调查总结 调查重点在于： - PowerShell 执行活动 - 侦察命令的使用 - USB 设备连接遥测 - 使用 KQL 进行端点事件关联 - 可疑活动的时间线分析 ## 展示的技能 - 威胁狩猎 - SIEM 管理 - 端点监控 - Windows 事件日志记录 - 日志分析 - 事件调查 - 检测工程 - 安全监控 - 云安全基础 - KQL 查询开发 ## 截图 `screenshots/` 文件夹包含了以下内容的逐步证据： - Azure 环境设置 - Sentinel 配置 - Azure Arc 接入 - AMA 配置 - PowerShell 活动 - USB 设备检测 - 威胁狩猎查询 - 分析规则创建 - 仪表板可视化

标签：AI合规, Azure, Microsoft Sentinel, 安全运营, 扫描框架, 无线安全, 流量嗅探