Ashanun87/EmberForge-Sentinel-Incident-Investigation

GitHub: Ashanun87/EmberForge-Sentinel-Incident-Investigation

该项目是一个在 Microsoft Sentinel 中模拟企业安全事件调查的实战演示,提供完整的 IR 生命周期实践、KQL 查询集和可复用的检测 playbook。

Stars: 0 | Forks: 0

EmberForge — Sentinel 事件调查 Microsoft Sentinel | KQL | 事件响应 | 检测工程 概述 EmberForge 是一项在 Microsoft Sentinel 内部进行的模拟企业安全事件调查。该项目使用 emberforge.local 域环境中的自定义日志表 (EmberForgeX_CL),完整演示了整个 IR 生命周期——从告警分诊到根因确定以及事件后的文档记录。 本项目展示的内容 跨日志源关联事件的多阶段 KQL 查询 完整的事件响应生命周期:分诊 → 假设 → 证据收集 → 根因 → 文档记录 使用 Sysmon 和 Windows 安全事件字段的自定义日志表分析 可重用的检测逻辑和调查 playbook 调查范围 环境:emberforge.local 域 日志表:EmberForgeX_CL(自定义) 分析字段:Computer、EventCode_s、CommandLine_s、Channel_s、Caller_User_Name_s 调查窗口:2026 年 1 月 30 日至 31 日 范围内主机:3 个 endpoint 工具与技术 Microsoft Sentinel KQL (Kusto Query Language) — 高级多阶段查询 Sysmon Windows 安全事件日志 MITRE ATT&CK 框架 记录的 IR 生命周期 告警分诊 假设形成 证据收集 威胁行为者活动分析 攻击时间线重建 根因确定 事件后文档记录 本仓库中的文件 README.md — 项目概述和调查摘要 kql_queries/ — 调查期间使用的所有 KQL 查询 investigation_report.md — 包含时间线和调查结果的完整 IR 报告 detection_playbook.md — 适用于生产 SOC 环境的可重用检测逻辑
标签:KQL, 安全运营, 库, 应急响应, 微软Sentinel, 扫描框架