eduardoordg/microsoft-sentinel-detection-engineering-lab

GitHub: eduardoordg/microsoft-sentinel-detection-engineering-lab

基于 Microsoft Sentinel 和 KQL 构建的检测工程实验室,演示如何针对 Entra ID 可疑身份验证活动创建自定义分析规则、自动生成警报与安全事件。

Stars: 0 | Forks: 0

# Microsoft Sentinel 检测工程实验室

检测工程 • Microsoft Sentinel • 分析规则 • Microsoft Entra ID • KQL • Azure Log Analytics

![Azure](https://img.shields.io/badge/Azure-Cloud-blue) ![Microsoft Sentinel](https://img.shields.io/badge/Microsoft-Sentinel-green) ![Microsoft Entra ID](https://img.shields.io/badge/Microsoft-Entra%20ID-blue) ![KQL](https://img.shields.io/badge/KQL-Query%20Language-orange) ![检测工程](https://img.shields.io/badge/Detection-Engineering-purple) ![云安全](https://img.shields.io/badge/Cloud-Security-red) # 展示技能 - Microsoft Sentinel - Microsoft Entra ID - Azure Log Analytics Workspace - Kusto Query Language (KQL) - 检测工程 - 分析规则 - 计划规则 - 警报生成 - 事件创建 - 事件调查 - MITRE ATT&CK 映射 - 云安全 # 项目亮点 - 创建了自定义的 Microsoft Sentinel 分析规则 - 使用 KQL 构建了计划检测 - 检测了 Microsoft Entra ID 的多次失败登录尝试 - 自动生成 Microsoft Sentinel 警报 - 从警报自动创建事件 - 配置了 MITRE ATT&CK 映射 - 使用 Azure Log Analytics 验证了检测 # 概述 本实验室演示了如何使用 Microsoft Sentinel 创建自定义检测规则,以识别来自 Microsoft Entra ID 的可疑身份验证活动。 我们使用 Kusto Query Language (KQL) 开发了一个计划分析规则,用于在指定的时间窗口内,监控来自同一用户和 IP 地址的多次失败登录尝试。 一旦满足检测条件,Microsoft Sentinel 就会自动生成警报并创建待调查的事件,从而演示了基本的检测工程工作流程。 # 实验室架构

# 使用的技术 | 组件 | 技术 | |-----------|------------| | 云平台 | Microsoft Azure | | 身份提供商 | Microsoft Entra ID | | SIEM | Microsoft Sentinel | | 日志存储 | Azure Log Analytics Workspace | | 查询语言 | Kusto Query Language (KQL) | # 检测工作流程 ## 1. KQL 检测查询 以下 KQL 查询用于识别在 15 分钟内产生三次或以上失败身份验证尝试的用户。 ``` SigninLogs | where ResultType != 0 | summarize FailedAttempts = count() by UserPrincipalName, IPAddress, bin(TimeGenerated, 15m) | where FailedAttempts >= 3 | sort by FailedAttempts desc ```

## 2. 创建自定义分析规则 我们使用该检测查询创建了一个计划分析规则。 该规则配置为: - 每 5 分钟运行一次 - 分析过去的 15 分钟 - 生成警报 - 将检测映射到 MITRE ATT&CK 凭证访问

## 3. 启用分析规则 经过验证后,该分析规则在 Microsoft Sentinel 中被成功启用。

## 4. 自动创建事件 当满足规则条件时,Microsoft Sentinel 会自动生成安全事件。

## 5. 事件列表 该事件出现在 Microsoft Defender 门户中,证明了 Sentinel 分析规则与 Defender 事件之间的成功集成。

## 6. 事件调查 生成的事件包含: - 警报信息 - 检测类别 - 严重性 - 时间线 - 调查界面 - 响应工作流程

# 调查结果 该检测工程工作流程成功演示了 Microsoft Sentinel 如何自动化识别可疑的身份验证行为。 自定义分析规则成功实现了以下操作: - 检测多次失败的登录尝试 - 生成安全警报 - 自动创建事件 - 与 Microsoft Defender 集成 - 支持事件调查 - 应用了 MITRE ATT&CK 分类 # 仓库结构 ``` . │ ├── images │ ├── banner.png │ ├── architecture.png │ ├── 01-kql-query.png │ ├── 02-analytics-rule-created.png │ ├── 03-rule-enabled.png │ ├── 04-incident-created.png │ ├── 05-incidents.png │ └── 06-incident-details.png │ ├── README.md ``` # 经验总结 在本实验中,我获得了以下方面的实践经验: - 在 Microsoft Sentinel 中构建自定义分析规则 - 编写 KQL 检测逻辑 - 创建计划检测 - 监控 Microsoft Entra ID 身份验证日志 - 自动化警报生成 - 自动化事件创建 - 调查 Microsoft Sentinel 事件 - 应用检测工程概念 - 将检测映射到 MITRE ATT&CK # 未来改进 - 为其他攻击场景创建额外的分析规则 - 实施 Entity Mapping - 配置 Automation Rules - 集成 Logic Apps playbooks - 创建 Microsoft Sentinel Workbooks - 使用威胁情报扩展检测覆盖范围 - 实施基于 UEBA 的检测 # 作者 **Eduardo Rodrigues** 基础设施分析师 | Azure | Microsoft Sentinel | IAM | 云安全 - LinkedIn: https://linkedin.com/in/eduardoordorodrigues - GitHub: https://github.com/eduardoordg
标签:KQL, Microsoft Entra ID, Microsoft Sentinel, 安全运营, 扫描框架