ericjohnson4/Microsoft-Sentinel-Threat-Hunting-and-Detection-Engineering

GitHub: ericjohnson4/Microsoft-Sentinel-Threat-Hunting-and-Detection-Engineering

基于 Microsoft Sentinel 云 SIEM 平台的威胁狩猎与检测工程实验项目，提供 KQL 查询、端点遥测分析和 MITRE ATT&CK 映射的完整实践。

Stars: 0 | Forks: 0

# Microsoft Sentinel 威胁狩猎与检测工程 ![Microsoft Sentinel](https://img.shields.io/badge/SIEM-Microsoft%20Sentinel-0078D4) ![Microsoft Defender XDR](https://img.shields.io/badge/XDR-Microsoft%20Defender%20XDR-5E5E5E) ![Microsoft Defender for Endpoint](https://img.shields.io/badge/EDR-Microsoft%20Defender%20for%20Endpoint-107C10) ![Microsoft Azure](https://img.shields.io/badge/Cloud-Microsoft%20Azure-0078D4) ![KQL](https://img.shields.io/badge/Language-KQL-blue) ![MITRE ATT\&CK](https://img.shields.io/badge/Framework-MITRE%20ATT%26CK-red) ![PowerShell 威胁狩猎](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/2f25da378c104609.png) ## 概述本项目展示了 **Microsoft Sentinel** 作为云原生安全信息与事件管理 (SIEM) 平台的部署、配置和操作使用，用于威胁狩猎和检测工程。一个 Microsoft Sentinel 工作区与 **Microsoft Defender XDR** 和 **Microsoft Defender for Endpoint (MDE)** 集成，以从 Windows 11 设备收集端点遥测数据。Kusto Query Language (KQL) 被用于验证遥测数据、执行主动威胁狩猎，以及开发模拟常见安全运营中心 (SOC) 工作流的自定义检测。 ## 项目目标 * 部署和配置 Microsoft Sentinel * 集成 Microsoft Defender XDR * 验证端点遥测数据收集 * 使用 KQL 执行威胁狩猎 * 调查端点进程、网络和注册表活动 * 开发自定义检测规则 * 配置告警富化和实体映射 * 将发现映射到 MITRE ATT&CK Framework ## 实验环境 | 组件 | 技术 | | ------------------- | ------------------------------- | | SIEM | Microsoft Sentinel | | XDR 平台 | Microsoft Defender XDR | | 端点保护 | Microsoft Defender for Endpoint | | 操作系统 | Windows 11 | | 云平台 | Microsoft Azure | | 检测语言 | Kusto Query Language (KQL) | ## 威胁狩猎使用 Microsoft Defender Advanced Hunting 和 Kusto Query Language (KQL) 进行了三次威胁狩猎练习。 | 狩猎 | 目的 | | ----------------------- | --------------------------------------------------------- | | PowerShell 活动 | 识别 PowerShell 执行 | | 侦察活动 | 检测发现命令 | | 持久性分析 | 检测与持久性相关的注册表修改 | 每次狩猎都作为一个独立的 KQL 查询包含在 **KQL** 目录中。 ## 检测工程威胁狩猎结果被转换为自定义的 Microsoft Sentinel 检测。检测工程活动包括： * 分析规则创建 * 告警配置 * 实体映射 * 检测验证 * 告警富化 ## MITRE ATT&CK 映射 | 检测 | ATT&CK 技术 | | ------------------------------- | ----------------------------------------- | | PowerShell 执行 | T1059.001 – PowerShell | | 系统信息发现 | T1082 | | 账户发现 | T1087 | | 网络配置发现 | T1016 | | 用户发现 | T1033 | | 注册表持久性 | T1547 – Boot or Logon Autostart Execution | | 注册表修改 | T1112 – Modify Registry | ## 包含的 KQL 查询本仓库包含可重用的 KQL 查询，用于： * DeviceInfo 遥测验证 * DeviceProcessEvents 验证 * DeviceNetworkEvents 验证 * DeviceRegistryEvents 验证 * PowerShell 活动狩猎 * 侦察活动狩猎 * 持久性分析狩猎 ## 展示技能 * Microsoft Sentinel 管理 * 威胁狩猎 * 检测工程 * Kusto Query Language (KQL) * Microsoft Defender XDR * Microsoft Defender for Endpoint * 端点遥测分析 * MITRE ATT&CK 映射 * 事件调查 * SIEM 运营 ## 仓库结构 ``` Microsoft-Sentinel-Threat-Hunting-and-Detection-Engineering/ │ ├── REPORT/ │ └── Microsoft_Sentinel_Threat_Hunting_and_Detection_Engineering_Lab.pdf │ ├── SCREENSHOTS/ │ └── Project Figures │ ├── KQL/ │ ├── DeviceInfo_Telemetry_Check.kql │ ├── DeviceProcessEvents_Validation.kql │ ├── DeviceNetworkEvents_Validation.kql │ ├── DeviceRegistryEvents_Validation.kql │ ├── PowerShell_Activity_Hunt.kql │ ├── Reconnaissance_Activity_Hunt.kql │ └── Persistence_Analysis_Hunt.kql │ ├── LICENSE └── README.md ``` ## 文档完整的技术报告可在 **REPORT** 文件夹中找到，记录了以下内容： * Microsoft Sentinel 部署 * Microsoft Defender XDR 集成 * 端点遥测验证 * 使用 Kusto Query Language (KQL) 进行威胁狩猎 * 检测工程 * MITRE ATT&CK 映射 * 发现与经验教训 ## 关键要点本项目通过部署 Microsoft Sentinel、使用 Kusto Query Language (KQL) 进行主动威胁狩猎、端点遥测验证、检测工程以及 MITRE ATT&CK 映射，展示了实用的 SOC 分析师技能。它反映了负责企业环境中安全监控、威胁检测、事件调查和检测工程的安全分析师所执行的许多职责。 ## 作者 **Eric Johnson** * GitHub: https://github.com/ericjohnson4 * CompTIA Security+ * CompTIA CySA+ * 网络安全硕士 (在读)

标签：Cloudflare, KQL, Microsoft Sentinel, MITRE ATT&CK, PB级数据处理, 安全检测工程, 安全运维