eduardoordg/microsoft-sentinel-detection-engineering-lab
GitHub: eduardoordg/microsoft-sentinel-detection-engineering-lab
基于 Microsoft Sentinel 和 KQL 构建的检测工程实验室,演示如何针对 Entra ID 可疑身份验证活动创建自定义分析规则、自动生成警报与安全事件。
Stars: 0 | Forks: 0
# Microsoft Sentinel 检测工程实验室
检测工程 • Microsoft Sentinel • 分析规则 • Microsoft Entra ID • KQL • Azure Log Analytics
      # 展示技能 - Microsoft Sentinel - Microsoft Entra ID - Azure Log Analytics Workspace - Kusto Query Language (KQL) - 检测工程 - 分析规则 - 计划规则 - 警报生成 - 事件创建 - 事件调查 - MITRE ATT&CK 映射 - 云安全 # 项目亮点 - 创建了自定义的 Microsoft Sentinel 分析规则 - 使用 KQL 构建了计划检测 - 检测了 Microsoft Entra ID 的多次失败登录尝试 - 自动生成 Microsoft Sentinel 警报 - 从警报自动创建事件 - 配置了 MITRE ATT&CK 映射 - 使用 Azure Log Analytics 验证了检测 # 概述 本实验室演示了如何使用 Microsoft Sentinel 创建自定义检测规则,以识别来自 Microsoft Entra ID 的可疑身份验证活动。 我们使用 Kusto Query Language (KQL) 开发了一个计划分析规则,用于在指定的时间窗口内,监控来自同一用户和 IP 地址的多次失败登录尝试。 一旦满足检测条件,Microsoft Sentinel 就会自动生成警报并创建待调查的事件,从而演示了基本的检测工程工作流程。 # 实验室架构
标签:KQL, Microsoft Entra ID, Microsoft Sentinel, 安全运营, 扫描框架