Ashanun87/EmberForge-Sentinel-Incident-Investigation
GitHub: Ashanun87/EmberForge-Sentinel-Incident-Investigation
该项目是一个在 Microsoft Sentinel 中模拟企业安全事件调查的实战演示,提供完整的 IR 生命周期实践、KQL 查询集和可复用的检测 playbook。
Stars: 0 | Forks: 0
EmberForge — Sentinel 事件调查
Microsoft Sentinel | KQL | 事件响应 | 检测工程
概述
EmberForge 是一项在 Microsoft Sentinel 内部进行的模拟企业安全事件调查。该项目使用 emberforge.local 域环境中的自定义日志表 (EmberForgeX_CL),完整演示了整个 IR 生命周期——从告警分诊到根因确定以及事件后的文档记录。
本项目展示的内容
跨日志源关联事件的多阶段 KQL 查询
完整的事件响应生命周期:分诊 → 假设 → 证据收集 → 根因 → 文档记录
使用 Sysmon 和 Windows 安全事件字段的自定义日志表分析
可重用的检测逻辑和调查 playbook
调查范围
环境:emberforge.local 域
日志表:EmberForgeX_CL(自定义)
分析字段:Computer、EventCode_s、CommandLine_s、Channel_s、Caller_User_Name_s
调查窗口:2026 年 1 月 30 日至 31 日
范围内主机:3 个 endpoint
工具与技术
Microsoft Sentinel
KQL (Kusto Query Language) — 高级多阶段查询
Sysmon
Windows 安全事件日志
MITRE ATT&CK 框架
记录的 IR 生命周期
告警分诊
假设形成
证据收集
威胁行为者活动分析
攻击时间线重建
根因确定
事件后文档记录
本仓库中的文件
README.md — 项目概述和调查摘要
kql_queries/ — 调查期间使用的所有 KQL 查询
investigation_report.md — 包含时间线和调查结果的完整 IR 报告
detection_playbook.md — 适用于生产 SOC 环境的可重用检测逻辑
标签:KQL, 安全运营, 库, 应急响应, 微软Sentinel, 扫描框架