krish-gupta21/Azure-Sentinel-Honeypot-SOC-Lab

GitHub: krish-gupta21/Azure-Sentinel-Honeypot-SOC-Lab

该项目搭建了一个基于 Azure Sentinel 的云端 SOC 实验室,通过蜜罐虚拟机收集 RDP 身份验证日志并利用 KQL 进行威胁检测与分析。

Stars: 0 | Forks: 0

# 🛡️ 基于 Microsoft Sentinel 的云端家庭 SOC 实验室 ![Azure](https://img.shields.io/badge/Microsoft-Azure-0078D4?style=for-the-badge&logo=microsoftazure&logoColor=white) ![Sentinel](https://img.shields.io/badge/Microsoft-Sentinel-5E5E5E?style=for-the-badge) ![KQL](https://img.shields.io/badge/KQL-Query_Language-blue?style=for-the-badge) ![Windows](https://img.shields.io/badge/Windows_Server-2025-0078D6?style=for-the-badge&logo=windows) # 📖 项目概述 本项目演示了如何使用 **Microsoft Azure** 和 **Microsoft Sentinel** 部署云原生的安全运营中心 (SOC)。 一台 Windows Server 虚拟机通过 **远程桌面协议 (RDP)** 被有意暴露在互联网上,以模拟蜜罐环境。身份验证尝试产生的安全事件通过 **Azure Monitor Agent (AMA)** 进行收集,存储在 **Log Analytics Workspace** 中,并使用 **Kusto Query Language (KQL)** 进行分析。 该项目展示了完整的 SOC 工作流程,从基础设施部署到日志收集、威胁狩猎、分析规则创建以及安全事件调查。 # 🎯 目标 - 在 Microsoft Azure 中部署 Windows Server 虚拟机 - 配置 Azure Log Analytics Workspace - 集成 Microsoft Sentinel - 使用 Azure Monitor Agent (AMA) 收集 Windows 安全事件 - 配置 Data Collection Rule (DCR) - 使用 KQL 执行威胁狩猎 - 检测失败和成功的身份验证尝试 - 创建计划分析规则以进行自动化检测 - 分析针对暴露的 RDP 服务的实际身份验证活动 # 🏗️ 架构 ``` Internet │ ▼ Azure Public IP │ ▼ Windows Server VM (RDP) │ ▼ Azure Monitor Agent (AMA) │ ▼ Data Collection Rule (DCR) │ ▼ Log Analytics Workspace │ ▼ Microsoft Sentinel │ │ ▼ ▼ KQL Queries Analytics Rules │ ▼ Threat Hunting & Analysis ``` # 🛠️ 使用的技术 | 类别 | 技术 | |----------|--------------| | 云平台 | Microsoft Azure | | SIEM | Microsoft Sentinel | | 日志存储 | Azure Log Analytics Workspace | | 监控代理 | Azure Monitor Agent (AMA) | | 操作系统 | Windows Server 2025 Datacenter Azure Edition | | 查询语言 | Kusto Query Language (KQL) | | 检测 | Scheduled Analytics Rules | | 远程访问 | Remote Desktop Protocol (RDP) | # 📂 仓库结构 ``` Azure-Home-SOC-Lab/ │ ├── README.md ├── LICENSE │ ├── architecture/ │ └── Home_Soc_Lab_Architecure.png │ ├── docs/ │ ├── 01 Virtual Machine Deployment.md │ ├── 02 Log Analytics Workspace.md │ ├── 03 Microsoft Sentinel Configuration.md │ ├── 04 Log Collection and Detection.md │ └── 05 Threat Hunting and Analysis.md │ └── Queries.md ``` # 🔄 SOC 工作流程 1. 部署 Azure 虚拟机 2. 创建 Log Analytics Workspace 3. 启用 Microsoft Sentinel 4. 安装 Windows Security Events 解决方案 5. 配置 Azure Monitor Agent (AMA) 6. 创建 Data Collection Rule (DCR) 7. 收集 Windows 安全事件 8. 执行 KQL 查询 9. 创建 Scheduled Analytics Rule 10. 调查身份验证事件 # 📚 文档 | 阶段 | 文档 | |--------|---------------| | 虚拟机部署 | [01-Virtual-Machine-Deployment.md](docs/01-Virtual-Machine-Deployment.md) | | Log Analytics Workspace | [02-Log-Analytics-Workspace.md](docs/02-Log-Analytics-Workspace.md) | | Microsoft Sentinel 配置 | [03-Microsoft-Sentinel-Configuration.md](docs/03-Microsoft-Sentinel-Configuration.md) | | 日志收集与检测 | [04-Log-Collection-and-Detection.md](docs/04-Log-Collection-and-Detection.md) | | 威胁狩猎与分析 | [05-Threat-Hunting-and-Analysis.md](docs/05-Threat-Hunting-and-Analysis.md) | # 🔍 威胁狩猎查询 该项目包含几个用于调查 Windows 安全事件的 KQL 查询。 - 失败的身份验证尝试 - 成功的身份验证事件 - 排名靠前的攻击 IP 地址 - 被针对的用户名 - Windows 登录类型 所有查询均可在 **queries/** 目录中找到。 # 🚨 检测规则 创建了一个计划性的 Microsoft Sentinel Analytics Rule,用于自动检测身份验证活动。 | 属性 | 值 | |----------|-------| | 规则名称 | Successful and Failed SignIns | | 规则类型 | Scheduled | | 严重程度 | 中等 | | MITRE ATT&CK | Initial Access | | 频率 | 每 5 分钟 | | 状态 | Enabled | # 📊 关键发现 - 成功使用 Microsoft Azure 部署了云原生 SOC 环境。 - Windows 安全事件通过 Azure Monitor Agent 进行收集。 - Microsoft Sentinel 成功摄取了身份验证日志。 - KQL 查询识别出了成功和失败的身份验证事件。 - 外部 IP 地址试图对暴露的 RDP 服务进行身份验证。 - 使用计划分析规则实现了自动化检测。 - 成功分析了身份验证事件,以区分合法的管理员访问和未经授权的登录尝试。 # 🚀 未来改进 - 创建 Microsoft Sentinel Workbooks 以进行可视化 - 在地理地图上显示攻击者位置 - 使用 Playbooks 配置事件自动化 - 集成 Microsoft Defender for Cloud - 添加额外的 Windows 安全事件分析 - 监控 PowerShell 和 Sysmon 事件 - 为高严重性检测实施电子邮件告警 # 📖 参考资料 - Microsoft Azure 文档 - Microsoft Sentinel 文档 - Azure Monitor 文档 - Kusto Query Language (KQL) 文档 - MITRE ATT&CK 框架 # 免责声明 本项目出于教育和防御性安全目的而开发。该虚拟机在受控的 Azure 实验室环境中被有意暴露在互联网上,以便使用 Microsoft Sentinel 生成和分析身份验证事件。未对第三方系统进行任何未经授权的测试。 # 👨‍💻 作者 **Krish Gupta** 网络安全爱好者 | SOC 分析师 | 道德黑客 | 云安全 - LinkedIn: https://www.linkedin.com/in/krishguptaofficial/ - GitHub: https://github.com/krish-gupta21 # 📄 许可证 该项目基于 MIT 许可证授权。有关详细信息,请参阅 [LICENSE](LICENSE) 文件。
标签:KQL查询语言, PE 加载器, 安全运营中心, 底层分析, 微软Azure, 微软Sentinel, 网络映射, 蜜罐技术