Azure Sentinel快速部署威胁狩猎工具:sentinel-attack指南
项目概述
sentinel-attack 是一个旨在简化Azure Sentinel环境中利用Sysmon及MITRE ATT&CK框架进行威胁狩猎能力部署的开源工具。它通过提供自动化部署模板、定制化的Sysmon配置、解析器以及一系列检测规则等组件,助力安全团队快速构建并优化其监控策略。
1. 项目目录结构及介绍
以下是sentinel-attack项目的主要目录结构及其简要说明:
-
azuredeploy.json:ARM(Azure Resource Manager)模板文件,用于自动化在Azure环境中的部署。
-
sysmonconfig.xml:Sysmon的配置文件,与Azure Sentinel兼容,并映射至特定的MITRE ATT&CK技术。
-
parser:目录,包含了用于处理Sysmon日志并与OSSEM数据模型对齐的解析逻辑。
-
detections:包含117条即用型Kusto查询规则,覆盖了156个ATT&CK技术,用于威胁检测。
-
hunting:提供了威胁狩猎的工作簿,帮助简化狩猎过程,灵感来源于Splunk的Threat Hunting App。
-
labs:可能包括实验环境或测试场景的设置资料。
-
docs:存放项目相关的文档资料。
-
CODE_OF_CONDUCT.md, CONTRIBUTING.md, LICENSE.md:社区行为准则、贡献指南和软件许可协议文件。
2. 项目启动文件介绍
本项目的核心在于自动化部署和配置文件的应用,因此,azuredeploy.json 可视为“启动”项目的关键文件。通过这个ARM模板,开发者或管理员可以在Azure平台上一键部署所需的资源和服务,初始化sentinel-attack环境,无需手动创建每个Azure Sentinel相关组件。
3. 项目配置文件介绍
-
sysmonconfig.xml:这是项目中至关重要的配置文件,定义了Sysmon如何收集系统事件和日志,特别是那些与MITRE ATT&CK技术相关的活动。正确配置此文件对于确保捕获到与潜在攻击行为相关的日志至关重要。
-
Kusto Detection Rules(位于detections目录下):这些是KQL(Kusto Query Language)脚本,构成了Azure Sentinel中的检测逻辑。每一个规则都旨在检测特定的威胁模式,与ATT&CK框架中的技术相对应。
通过上述文件和目录结构的了解,用户可以更加高效地管理和使用sentinel-attack来增强其云安全态势和威胁响应能力。务必参考项目内的Wiki页面以获取详细的部署与配置指南。