emmanuel-tuyishime/Proactive-Threat-Monitoring-and-Detection-Using-a-SIEM-Based-Approach

# 基于SIEM方法的前瞻性威胁监控与检测 本仓库提供了部署配置、脚本和架构参考，用于实施基于云的安全信息与事件管理 (SIEM) 监控环境，以实现前瞻性威胁检测。 # 相关出版物 1. 增强云安全——使用基于 SIEM 的方法进行前瞻性威胁监控与检测，可在以下网址获取：DOI # 项目概述 云环境因其动态、分布式和多租户的特性引入了新的网络安全挑战，使得安全监控比传统基础设施更为复杂。 本项目演示了如何部署云原生 SIEM 平台，以收集、关联和分析安全事件，从而实时检测潜在威胁。 该架构实现了： - 云基础设施的持续监控 - 自动化威胁检测 - 安全事件关联 - 事件调查与响应 - 合规性监控 # 架构概览 ``` Internet Traffic │ ▼ Web Application Firewall │ ▼ Azure Virtual Network ├── Virtual Machines ├── Network Security Groups └── Subnets │ ▼ Log Collection ├── Azure Monitor ├── Log Analytics Workspace └── Monitoring Agents │ ▼ Microsoft Sentinel (SIEM) │ ├── Analytics Rules ├── Incident Management ├── Investigation Graph └── Workbooks │ ▼ Security Monitoring Dashboard ``` # 核心组件 ## Microsoft Sentinel 云原生 SIEM 平台，用于： - 安全事件关联 - 威胁检测 - 事件调查 - 自动化响应 Playbook ## Microsoft Defender for Cloud 提供： - 持续安全评估 - 合规性监控 - 风险检测 ## Azure Log Analytics 集中式日志收集与分析平台。 ## Azure Virtual Network 托管云基础设施，包括虚拟机、网络安全组和监控代理。 # 检测工作流 ``` Cloud Infrastructure │ ▼ Log Collection │ ▼ Log Analytics Workspace │ ▼ SIEM Analytics Rules │ ▼ Security Alerts │ ▼ Incident Investigation │ ▼ Automated Response ``` # 环境要求 要复现该部署，您需要： - Microsoft Azure 账户 - 已启用 Microsoft Sentinel - Log Analytics Workspace - Azure Virtual Network - 安全监控代理 # 部署步骤 1. 部署 Azure Virtual Network 2. 创建 Log Analytics Workspace 3. 在虚拟机上安装监控代理 4. 启用 Microsoft Defender for Cloud 5. 将数据源连接到 Microsoft Sentinel 6. 配置分析规则和警报 7. 通过 Sentinel 仪表板监控安全事件 # 许可证 基于 **MIT License** 发布。详见 [LICENSE](LICENSE)。

标签：AMSI绕过, CISA项目, Log Analytics, MDPI 论文, Microsoft Sentinel, PE 加载器, 云端安全, 合规监控, 威胁检测, 插件系统, 架构部署, 结构化查询, 网络安全审计, 自动化安全, 虚拟网络, 速率限制, 防火墙