pfa252/soc-analyst-lab
GitHub: pfa252/soc-analyst-lab
一个基于 Microsoft Sentinel 和 Defender 构建的实操型 SOC 分析师实验室,用于练习安全监控、KQL 检测工程和事件响应工作流。
Stars: 0 | Forks: 0
# SOC Analyst 实验室
## 概述
本项目记录了一个实操型 SOC Analyst 实验室的构建过程,旨在练习安全监控、端点遥测数据收集、KQL 检测工程以及事件响应工作流。
该实验室侧重于使用 Microsoft 安全工具(包括 Microsoft Sentinel、Microsoft Defender for Endpoint、Windows 事件日志、Sysmon 和 KQL)进行蓝队技能训练。
## 项目目标
本项目的目标是:
* 构建一个小型但真实的 SOC 实验室环境
* 从 Windows 端点收集安全遥测数据
* 将日志转发至 SIEM
* 编写 KQL 检测规则以发现可疑活动
* 在安全的实验室环境中模拟常见的攻击者行为
* 使用可重复的事件响应流程调查警报
* 以专业的事件报告格式记录发现
## 实验室组件
计划包含的组件有:
* Windows 11 实验端点
* Microsoft Sentinel
* Azure Log Analytics Workspace
* Microsoft Defender for Endpoint
* Sysmon
* Windows 安全事件日志
* KQL 检测查询
* 事件响应报告
## 展示技能
本项目展示了:
* SIEM 设置与配置
* 端点检测与响应概念
* Windows 日志分析
* Microsoft Sentinel 使用
* KQL 查询编写
* 威胁狩猎
* 警报分类
* 事件记录
* MITRE ATT&CK 映射
* 安全运营工作流
## 计划的检测用例
本实验室将包含针对以下场景的检测:
* 登录失败活动
* 暴力破解行为
* 多次失败后的成功登录
* 可疑的 PowerShell 使用
* 编码的 PowerShell 命令
* 本地管理员账户更改
* 可疑的进程执行
* Defender 安全警报
## 仓库结构
```
soc-analyst-lab/
│
├── README.md
├── lab-architecture.md
├── setup-notes.md
│
├── diagrams/
├── screenshots/
├── kql/
├── incident-reports/
└── notes/
```
## 状态
项目状态:进行中
当前阶段:实验室初步规划与仓库搭建
## 重要提示
本实验室仅使用测试系统、实验室生成的遥测数据以及脱敏文档。本仓库中不包含任何雇主、客户或生产环境的数据。
标签:KQL检测, Microsoft Sentinel, SOC实验室, 安全运营, 扫描框架, 红队行动