pfa252/soc-analyst-lab

GitHub: pfa252/soc-analyst-lab

一个基于 Microsoft Sentinel 和 Defender 构建的实操型 SOC 分析师实验室,用于练习安全监控、KQL 检测工程和事件响应工作流。

Stars: 0 | Forks: 0

# SOC Analyst 实验室 ## 概述 本项目记录了一个实操型 SOC Analyst 实验室的构建过程,旨在练习安全监控、端点遥测数据收集、KQL 检测工程以及事件响应工作流。 该实验室侧重于使用 Microsoft 安全工具(包括 Microsoft Sentinel、Microsoft Defender for Endpoint、Windows 事件日志、Sysmon 和 KQL)进行蓝队技能训练。 ## 项目目标 本项目的目标是: * 构建一个小型但真实的 SOC 实验室环境 * 从 Windows 端点收集安全遥测数据 * 将日志转发至 SIEM * 编写 KQL 检测规则以发现可疑活动 * 在安全的实验室环境中模拟常见的攻击者行为 * 使用可重复的事件响应流程调查警报 * 以专业的事件报告格式记录发现 ## 实验室组件 计划包含的组件有: * Windows 11 实验端点 * Microsoft Sentinel * Azure Log Analytics Workspace * Microsoft Defender for Endpoint * Sysmon * Windows 安全事件日志 * KQL 检测查询 * 事件响应报告 ## 展示技能 本项目展示了: * SIEM 设置与配置 * 端点检测与响应概念 * Windows 日志分析 * Microsoft Sentinel 使用 * KQL 查询编写 * 威胁狩猎 * 警报分类 * 事件记录 * MITRE ATT&CK 映射 * 安全运营工作流 ## 计划的检测用例 本实验室将包含针对以下场景的检测: * 登录失败活动 * 暴力破解行为 * 多次失败后的成功登录 * 可疑的 PowerShell 使用 * 编码的 PowerShell 命令 * 本地管理员账户更改 * 可疑的进程执行 * Defender 安全警报 ## 仓库结构 ``` soc-analyst-lab/ │ ├── README.md ├── lab-architecture.md ├── setup-notes.md │ ├── diagrams/ ├── screenshots/ ├── kql/ ├── incident-reports/ └── notes/ ``` ## 状态 项目状态:进行中 当前阶段:实验室初步规划与仓库搭建 ## 重要提示 本实验室仅使用测试系统、实验室生成的遥测数据以及脱敏文档。本仓库中不包含任何雇主、客户或生产环境的数据。
标签:KQL检测, Microsoft Sentinel, SOC实验室, 安全运营, 扫描框架, 红队行动