Lesedi2003/Azure-SIEM-SOAR-Lab
GitHub: Lesedi2003/Azure-SIEM-SOAR-Lab
一个基于 Microsoft Sentinel 的云安全运营实验室,通过 Windows 蜜罐收集真实攻击数据并利用 KQL 查询和 GeoIP 可视化来演示 SIEM 威胁检测与调查流程。
Stars: 0 | Forks: 0
# 🛡️Azure Sentinel 蜜罐 - 攻击检测与调查实验室
## 📖 概述
本项目演示了如何使用 Microsoft Azure 和 Microsoft Sentinel 部署基于云的安全运营中心 (SOC) 实验室。
一台面向互联网的 Windows Server 虚拟机被故意配置为蜜罐,以吸引未经授权的认证尝试。Windows 安全事件通过 Azure Monitor Agent 进行收集,存储在 Log Analytics Workspace 中,并使用 Kusto Query Language (KQL) 进行调查。
为了在调查过程中提供额外的上下文信息,我们使用了 GeoIP Watchlist,利用地理信息丰富攻击者 IP 地址。随后,这些丰富的数据使用 Microsoft Sentinel Workbook 进行可视化,使得认证尝试可以在交互式世界地图上查看。
本项目展示了对 SIEM 部署、Windows 事件收集、威胁调查、日志分析、数据丰富以及使用 Microsoft Sentinel 进行安全可视化的实践经验。
# 🚀 未来改进
本项目侧重于使用 Microsoft Sentinel 收集和调查认证事件。
随着我 SOC 技能的不断提升,我计划通过实现更多的 Microsoft 安全技术来扩展此实验室,包括:
- ⚡ Microsoft Sentinel Automation Rules
- 🤖 使用 Azure Logic Apps 的 Microsoft Sentinel SOAR Playbooks
- 🚨 自动化事件创建与响应
- 🛡️ Microsoft Defender for Endpoint 集成
- 📧 Microsoft Defender for Office 365 集成
- ☁️ Microsoft Defender for Cloud 集成
- 📈 使用 KQL 进行高级威胁狩猎
- 🔔 自定义分析规则与告警
## 👨💻 作者
**Lesedi**
- SC-200: Microsoft Security Operations Analyst
- SC-300: Microsoft Identity and Access Administrator
- 有志成为 SOC Analyst
标签:Azure云, BurpSuite集成, KQL, 安全运营, 底层分析, 微软Sentinel, 扫描框架, 蜜罐, 证书利用