Justjeff211/Enterprise-SOC-Portfolio

GitHub: Justjeff211/Enterprise-SOC-Portfolio

一个包含十个动手实验项目的企业级 SOC 实战作品集,基于微软安全栈系统性地展示威胁检测、事件响应与身份调查能力,对标 SC-200 和 SC-300 认证备考。

Stars: 0 | Forks: 0

``` # 企业 SOC 产品组合 ``` [![SIEM](https://img.shields.io/badge/SIEM-Microsoft%20Sentinel-0078D4)](#) [![XDR](https://img.shields.io/badge/XDR-Microsoft%20Defender-0078D4)](#) [![Identity](https://img.shields.io/badge/Identity-Microsoft%20Entra%20ID-0078D4)](#) [![Language](https://img.shields.io/badge/Query%20Language-KQL-blue)](#) [![Cert](https://img.shields.io/badge/Aligned%20to-SC--200%20%7C%20SC--300-yellow)](#) **作者:** Mojalefa "Jeff" Letsoara - SOC Analyst, SC-200 & SC-300 Candidate ## 为什么创建此作品集 这里的每一个项目都是真实的、亲自动手实践的构建——包括搭建基础设施、模拟攻击、设计检测、分类处理事件以及记录经验教训,而不是单纯的跟着教程做。目标是在现代 Microsoft 安全栈的广度上展示实际的 SOC Level 1 能力,每一项主张都有可重现的构建以及关于出现了什么问题及如何修复的书面记录作为支撑。 所有实验环境均建立在隔离的 Azure 订阅中,并且**在每个项目的事件队列完全解决后即予以停用**,以避免持续的云费用支出。每个项目的 README 和报告作为永久的证据记录。 ## 路线图 | # | 项目 | 重点 | 状态 | |---|---|---|---| | 01 | [Microsoft Sentinel SOC 部署](./01-microsoft-sentinel-soc-deployment/) | SIEM 构建、数据收集规则、Azure Monitor Agent、自定义 KQL 分析规则、映射 MITRE ATT&CK 的暴力破解检测、完整的事件生命周期 | ✅ 完成 | | 02 | Defender XDR 事件调查 | 跨端点、身份和云应用的跨域关联;在 Microsoft Defender 中进行统一的事件调查 | 🔄 计划中 | | 03 | 使用 KQL 进行高级威胁狩猎 | 主动狩猎假设、狩猎查询、书签以及基于狩猎发现构建的自定义检测 | 🔄 计划中 | | 04 | 使用 Logic Apps 进行 SOC 自动化 | SOAR playbook - 从 Sentinel 事件触发的自动分类、富化和响应动作 | 🔄 计划中 | | 05 | Microsoft Purview 内部风险调查 | 内部风险管理、数据防丢失和合规驱动的调查工作流 | 🔄 计划中 | | 06 | Security Copilot 辅助调查 | 使用 Microsoft Security Copilot 进行 AI 辅助的事件调查和响应加速 | 🔄 计划中 | ### 身份与访问方向 (SC-300) SOC 分析师越来越频繁地需要处理身份遥测数据,大多数现代入侵在某个阶段都会涉及到受损或被滥用的身份,而 Defender/Sentinel 的 UEBA 和 Entra ID Protection 信号是 SOC 的核心工具,而不是一门独立的学科。这些项目围绕*调查和检测*基于身份的威胁而构建,而不是纯粹的身份管理,因此它们与 SOC 实习直接相关,而不会看起来像是在绕道做系统管理员。 | # | 项目 | 重点 | 状态 | |---|---|---|---| | 07 | Entra ID 条件访问与风险登录调查 | 条件访问策略设计(强制 MFA、基于位置/风险的拦截);通过 Entra ID Protection 模拟和调查风险登录(不可能的行程、匿名 IP、泄露的凭证);在 Sentinel 中与 Entra ID 登录工作簿进行关联。映射到 MITRE ATT&CK T1078 - 有效账户 | 🔄 计划中 | | 08 | 特权身份管理 (PIM) - 权限提升调查 | 为实时(just-in-time)符合条件的角色分配配置 PIM;模拟权限提升场景;调查激活审计日志;与项目 01 中的 EventID 4672 权限使用遥测数据进行关联 | 🔄 计划中 | | 09 | 身份治理 - 访问审查与最小权限审计 | 访问审查和权限管理;记录针对过期/过度权限的合规驱动审计;将发现结果输入到项目 05 的内部风险视角中 | 🔄 计划中 | ### 毕业项目 | # | 项目 | 重点 | 状态 | |---|---|---|---| | 毕业项目 | 企业级 SOC 模拟 | 将全部九个项目整合到一个模拟的企业环境中——跨越端点、身份和云的多阶段攻击;跨 Sentinel、Defender XDR 和 Entra ID 的完整检测到响应链条 | 🔄 计划中 | ## 作品集中展示的技能 - Microsoft Sentinel 管理:工作区、数据收集规则、Content Hub 解决方案、工作簿 - Kusto Query Language (KQL):摄入验证、威胁狩猎、基于时间分桶的检测逻辑 - Microsoft Defender XDR:跨域事件调查与关联 - SOAR / 自动化:基于 Logic Apps 的分类和响应 playbook - Microsoft Purview:内部风险与合规调查 - Microsoft Security Copilot:AI 辅助的 SOC 工作流 - MITRE ATT&CK 框架映射 - SOC Level 1/2 事件响应生命周期:分配、调查、分类、记录、解决 - Azure RBAC、治理标签以及通过 CLI/PowerShell 进行的基础设施故障排除 - Microsoft Entra ID:条件访问策略设计、Identity Protection、基于风险的登录调查 - 特权身份管理 (PIM):实时访问、权限提升调查 - 身份治理:访问审查、权限管理、最小权限审计 ## 认证路线图 | 认证 | 状态 | |---|---| | SC-900 - 安全、合规、身份基础 | ✅ 已完成 | | AZ-900 - Azure 基础知识 | ✅ 已完成 | | CompTIA Security+ | ✅ 已完成 | | CompTIA CySA+ | ✅ 已完成 | | **SC-200 - 安全运营分析师** | 🔄 候选人,正在积极备考 | | **SC-300 - 身份与访问管理员** | 🔄 候选人,预计 2026 年 7 月底参加考试 | **联系方式:** 欢迎探讨 SOC 分析师 / 网络安全分析师实习生及初级职位的机会。欢迎通过 LinkedIn 与我联系。
标签:AI合规, KQL, 安全运营, 扫描框架, 自动化响应