ashikKH/sentinel-identity-defense

GitHub: ashikKH/sentinel-identity-defense

一个面向 Microsoft Sentinel 的开源身份防御检测工程框架,提供开箱即用的 KQL 规则、ARM 模板和自动化剧本,帮助企业快速构建身份安全检测能力。

Stars: 0 | Forks: 0

# Microsoft Sentinel 身份防御入门套件 一个用于 Microsoft Sentinel 身份检测的、可随时部署的初始代码库: **密码喷射,随后成功登录 Microsoft Entra ID**。 ## 包含内容 - Microsoft Sentinel 分析规则 YAML - 可部署的 ARM 模板 - 独立的 KQL 狩猎查询 - 可选的受信任 IP watchlist 模板 - 验证脚本 - GitHub Actions 验证工作流 - 调查与调优指南 ## 此检测为何有用 仅凭密码喷射告警可能会产生大量噪音。此规则通过要求以下条件增加了更强的上下文: 1. 来自同一 IP 对多个账户的失败登录。 2. 不久后来自同一 IP 的成功登录。 该规则映射了账户和 IP 实体,并在发现此序列时创建高严重性事件。 ## 前置条件 - 在 Log Analytics 工作区上启用 Microsoft Sentinel - 已连接 Microsoft Entra ID 登录日志 - `SigninLogs` 数据可用 - 拥有部署 `Microsoft.SecurityInsights/alertRules` 的权限 ## 安全部署 ARM 模板部署的规则**默认处于禁用状态**。请首先在日志中运行并调整查询。 ``` az deployment group create ` --resource-group "" ` --template-file "./Deploy/main.json" ` --parameters workspaceName="" ruleEnabled=false ``` 在验证结果后,在 Microsoft Sentinel 中启用该规则,或使用 `ruleEnabled=true` 重新部署。 ## 推荐调优 - `MinimumTargetedUsers`:默认值为 5 - `DetectionWindow`:默认值为 1 小时 - `FailureBin`:默认值为 20 分钟 - `SuccessLookAhead`:默认值为 30 分钟 - 仅在确认所有权后,排除批准的出口、扫描器和渗透测试 IP ## 验证 ``` pwsh ./Tests/Test-Repository.ps1 ``` 检查项包括验证 JSON、YAML 结构、必填字段、GUID 格式、匹配内嵌的 KQL 以及基本的 KQL 安全规则。 ## 仓库主题 `microsoft-sentinel`, `kql`, `microsoft-entra`, `detection-engineering`, `siem`, `identity-security` ## 许可证 MIT
标签:AI合规, KQL, Libemu, Microsoft Sentinel, 自动化响应, 身份安全