VadymNikitan/VadymNikitan

GitHub: VadymNikitan/VadymNikitan

基于 MITRE ATT&CK 和真实攻击场景的 Microsoft Sentinel 与 Defender XDR 安全运营调查案例集,涵盖检测逻辑、KQL 查询和事件响应 playbook。

Stars: 0 | Forks: 0

# 你好,我是 Vadym Nikitan **Microsoft 认证安全运营分析师 (SC-200)** 我是一名 Microsoft 认证安全运营分析师 (SC-200),对 Microsoft 安全技术、安全运营和威胁狩猎有着浓厚的兴趣。 我通过 Microsoft Learn、个人实验室、TryHackMe 以及使用 Microsoft Sentinel 和 Microsoft Defender XDR 自主开发的 SOC 调查项目,积累了实践经验。 我目前正在寻找作为 SOC 分析师开始职业生涯的机会,希望能在现代化的安全运营中心内做出贡献、持续学习并不断成长。 ## 目标 通过调查真实世界的攻击场景、创建 KQL 检测逻辑,以及基于 Microsoft 安全技术和 MITRE ATT&CK 框架记录事件调查 playbook,不断提升实用的安全运营技能。 ## 技能 | 技能 | 相关项目 | |--------------------------------|--------------------------------| | Microsoft Sentinel 调查 | SOC 调查案例集 | | Microsoft Defender XDR | SOC 调查案例集 | | Microsoft Entra ID 调查 | SOC 调查案例集 | | 使用 KQL 进行威胁狩猎 | KQL 查询库(即将推出) | | MITRE ATT&CK 映射 | SOC 调查案例集 | | 事件调查 | SOC 调查案例集 | ## 技术与工具 ### Microsoft 安全 - Microsoft Sentinel - Microsoft Defender XDR - Microsoft Defender for Endpoint - Microsoft Defender for Cloud - Microsoft Defender for Cloud Apps - Microsoft Entra ID ### 调查与威胁狩猎 - Kusto Query Language (KQL) - Microsoft Threat Intelligence - VirusTotal - CyberChef ### 操作系统 - Windows - Linux ## 认证
## 当前项目 ### SOC 调查案例集 这是一个不断扩充的 Microsoft Sentinel 和 Microsoft Defender XDR 调查案例集合,基于以下内容: - Microsoft Threat Intelligence 报告 - MITRE ATT&CK - Microsoft 安全文档 - 真实世界的攻击场景 每项调查都包含: - 调查工作流 - 检测逻辑 - KQL 查询示例 - 响应建议 - 误报 - 经验教训 ### KQL 查询库 一系列实用的 Microsoft Sentinel 狩猎和调查查询,按攻击技术和调查场景进行分类。 ## 目前正在学习 - TryHackMe SOC Level 1 - 威胁狩猎 - 高级 Microsoft Sentinel - 事件响应 - Microsoft 安全运营 ## 注意 本仓库中的调查案例和 KQL 查询仅供学习之用,均基于公开的 Microsoft 文档、MITRE ATT&CK 和威胁情报报告。 这些 KQL 查询应被视为调查示例和起点,可根据特定的生产环境进行调整。 ## 与我联系 📧 电子邮件:vnikitan@gmail.com
标签:Defender XDR, KQL检测规则, Microsoft Sentinel, MITRE ATT&CK映射, 安全运营(SOC), 网络安全, 隐私保护