PraveenMasupatri/microsoft-sentinel-threat-lab
GitHub: PraveenMasupatri/microsoft-sentinel-threat-lab
Microsoft Sentinel 实践实验项目,通过模拟数据和安全构件帮助安全从业者学习云原生 SIEM/SOAR 的威胁检测与事件响应能力。
Stars: 0 | Forks: 0
# Microsoft Azure Sentinel 实验环境
本项目展示了一个用于学习和探索 Microsoft Azure Sentinel 的实践实验环境——这是一个云原生的安全信息和事件管理 (SIEM) 与安全编排自动化响应 (SOAR) 解决方案,同时也用于探索威胁情报、检测和事件响应。该实验室利用预录数据和内置构件模拟真实世界的检测与响应场景。
## 实验目标
- 在结构化且安全的环境中部署 Azure Sentinel 组件。
- 使用预录数据集模拟威胁检测用例。
- 探索 Microsoft Sentinel 的内置功能,包括分析规则、工作簿和搜寻查询。
- 理解针对 Sentinel 角色的基于角色的访问控制 (RBAC)。
## 实验设置概览
### 1. **资源组和 Workspace 部署**
- 为实验室创建一个新的 **Azure Resource Group**。
- 在同一资源组内部署一个 **Log Analytics Workspace**。
- 在已部署的 Workspace 上启用 **Microsoft Sentinel**。
### 2. **安装 Microsoft Sentinel Training Lab 解决方案**
- 导航至 Azure Sentinel 中的 **Content Hub**。
- 安装 **Microsoft Sentinel Training Lab** 解决方案。
- 该解决方案会摄入预录日志并启用多种构件(分析规则、搜寻查询、工作簿)以模拟检测和响应场景。
### 3. **RBAC 角色分配**
- 将用户分配到 Azure Sentinel 特定角色:
- **Sentinel Responder** – 可以查看事件并采取行动(例如,分配、关闭、评论)。
- **Sentinel Contributor** – 可以管理内容,如分析规则和工作簿。
### 4. **连接 Azure Activity Logs**
- 打开 Sentinel 中的 **Data Connectors** 部分。
- 找到并安装 **Azure Activity Connector**。
- 配置连接器以从您的 Azure 租户中拉取活动日志(例如资源修改和角色分配)。
- 通过检查连接器状态和查询传入日志来确认成功摄入。
### 5. **威胁情报集成 (TAXII - Pulsedive)**
- 为了利用真实世界的威胁情报丰富 Sentinel,我们连接了 **Threat Intelligence - TAXII data connector**。
- 使用了 **Pulsedive**,这是一个支持 TAXII 的免费社区驱动型威胁情报平台。
- 配置连接器的步骤如下:
- 在 **Data Connectors** 下启用 TAXII
- 提供 Pulsedive TAXII 服务器 URL 和集合
- 设置基本身份验证(如果需要)
- 连接后,Pulsedive 的失陷指标 开始流入 Sentinel 的 **ThreatIntelligenceIndicator** 表。
- 随后这些 IOC 可用于:
- **Analytics rules**
- **Hunting queries**
- **Incident correlation**
## 演示功能
- Sentinel 和核心基础设施的部署
- Microsoft Sentinel Training Lab 解决方案的安装
- 使用 Sentinel Contributor 和 Responder 角色的基于角色的访问控制
- 通过原生数据连接器集成 Azure Activity logs
- **使用 TAXII (Pulsedive) 连接器摄入威胁情报**
- 使用 KQL 查询和调查安全事件
## 使用的工具与技术
- **Microsoft Azure**
- **Microsoft Sentinel**
- **Log Analytics**
- **Azure Activity Logs**
- **Azure RBAC**
- **Content Hub**
- **KQL (Kusto Query Language)**
- **Threat Intelligence - TAXII (PulseDive)**
## 截图
_
## 学习成果
- 获得部署和管理 Microsoft Sentinel 的实际理解。
- 获得处理模拟检测数据和调查工作流的实践经验。
- 熟悉 Azure 安全角色和权限。
标签:AMSI绕过, Azure, Azure Activity Logs, Azure Resource Group, BurpSuite集成, Content Hub, EDR, FTP漏洞扫描, Log Analytics, Microsoft Sentinel, RBAC, SOAR, 云端防御, 代码示例, 分析规则, 威胁情报, 威胁检测, 安全实验室, 安全编排, 安全运营, 实验环境, 工作簿, 开发者工具, 扫描框架, 搜寻查询, 教学项目, 数据分析, 数据连接器, 网络安全, 脆弱性评估, 自动化响应, 隐私保护