ag48665/Microsoft-Sentinel-SOC-Lab

# Microsoft Sentinel SOC 实验室 ## 概述 本项目演示了使用 Microsoft Sentinel 和 Microsoft Azure 进行安全运营中心 (SOC) 的实际工作流程。 本实验室的目标是模拟真实的 SOC 运营，包括使用 Kusto Query Language (KQL) 进行威胁检测、调查、事件响应和威胁狩猎。 ## 目标 * 部署 Microsoft Sentinel * 配置 Azure Log Analytics Workspace * 练习 KQL 查询 * 检测常见攻击技术 * 将检测映射到 MITRE ATT&CK * 创建分析规则 * 执行威胁狩猎 * 构建调查报告 * 记录事件响应流程 ## 实验架构 ``` Azure Subscription │ ▼ Log Analytics Workspace │ ▼ Microsoft Sentinel │ ▼ Data Connectors │ ▼ Analytics Rules │ ▼ Incidents │ ▼ Threat Hunting │ ▼ Workbooks & Reports ``` ## 仓库结构 ``` Microsoft-Sentinel-SOC-Lab │ ├── README.md ├── screenshots/ ├── kql/ ├── analytics_rules/ ├── hunting/ ├── workbooks/ ├── reports/ └── playbooks/ ``` ## KQL 查询 本仓库目前包含以下检测查询： * 失败的登录 * 成功的登录 * 暴力破解检测 * 密码喷射检测 * 不可能旅行 * 高风险登录 * MFA 失败 * 凭据转储 * Mimikatz 检测 * 编码的 PowerShell * 计划任务 * 安全警报排行 * 勒索软件活动 ## MITRE ATT&CK 覆盖范围 | 技术 | 描述 | |----------|-------------| | T1110 | 暴力破解 | | T1078 | 有效账户 | | T1059.001 | PowerShell | | T1003 | 凭据转储 | | T1053 | 计划任务 | | T1486 | 数据加密以造成影响 | ## 技术 * Microsoft Sentinel * Microsoft Defender * Azure Log Analytics * Azure Monitor * Kusto Query Language (KQL) * Microsoft Azure * MITRE ATT&CK Framework ## 截图 ### Microsoft Sentinel 概览  ### 内容 Hub  ### KQL 编辑器  ### KQL 查询  ### 查询结果  ## 展示技能 * SIEM 管理 * 威胁检测 * 威胁狩猎 * 事件调查 * KQL 查询开发 * MITRE ATT&CK 映射 * 安全监控 * Azure 安全 ## 作者 Agata Gabara

标签：KQL, Microsoft Sentinel, OpenCanary, 安全实验室, 安全运营, 扫描框架