ashikKH/sentinel-identity-defense
GitHub: ashikKH/sentinel-identity-defense
一个面向 Microsoft Sentinel 的开源身份防御检测工程框架,提供开箱即用的 KQL 规则、ARM 模板和自动化剧本,帮助企业快速构建身份安全检测能力。
Stars: 0 | Forks: 0
# Microsoft Sentinel 身份防御入门套件
一个用于 Microsoft Sentinel 身份检测的、可随时部署的初始代码库:
**密码喷射,随后成功登录 Microsoft Entra ID**。
## 包含内容
- Microsoft Sentinel 分析规则 YAML
- 可部署的 ARM 模板
- 独立的 KQL 狩猎查询
- 可选的受信任 IP watchlist 模板
- 验证脚本
- GitHub Actions 验证工作流
- 调查与调优指南
## 此检测为何有用
仅凭密码喷射告警可能会产生大量噪音。此规则通过要求以下条件增加了更强的上下文:
1. 来自同一 IP 对多个账户的失败登录。
2. 不久后来自同一 IP 的成功登录。
该规则映射了账户和 IP 实体,并在发现此序列时创建高严重性事件。
## 前置条件
- 在 Log Analytics 工作区上启用 Microsoft Sentinel
- 已连接 Microsoft Entra ID 登录日志
- `SigninLogs` 数据可用
- 拥有部署 `Microsoft.SecurityInsights/alertRules` 的权限
## 安全部署
ARM 模板部署的规则**默认处于禁用状态**。请首先在日志中运行并调整查询。
```
az deployment group create `
--resource-group "" `
--template-file "./Deploy/main.json" `
--parameters workspaceName="" ruleEnabled=false
```
在验证结果后,在 Microsoft Sentinel 中启用该规则,或使用 `ruleEnabled=true` 重新部署。
## 推荐调优
- `MinimumTargetedUsers`:默认值为 5
- `DetectionWindow`:默认值为 1 小时
- `FailureBin`:默认值为 20 分钟
- `SuccessLookAhead`:默认值为 30 分钟
- 仅在确认所有权后,排除批准的出口、扫描器和渗透测试 IP
## 验证
```
pwsh ./Tests/Test-Repository.ps1
```
检查项包括验证 JSON、YAML 结构、必填字段、GUID 格式、匹配内嵌的 KQL 以及基本的 KQL 安全规则。
## 仓库主题
`microsoft-sentinel`, `kql`, `microsoft-entra`, `detection-engineering`, `siem`, `identity-security`
## 许可证
MIT
标签:AI合规, KQL, Libemu, Microsoft Sentinel, 自动化响应, 身份安全