Azure 紫队威胁狩猎实战:从沙箱构建到Sentinel检测

本文详细介绍了如何利用Azure ARM模板快速部署紫队演练环境,通过Log Analytics和Microsoft Sentinel实现PowerShell攻击检测,并演示KQL查询与告警配置的全流程。

ARM模板与部署

Azure资源管理器(ARM)模板可通过GitHub官方仓库快速部署包含域控、工作站和攻击机的完整环境。部署时需创建资源组,选择虚拟机规格(含DC/WS/Linux各一台),并设置网络访问策略。默认凭证为doazlab.com\doadmin:DOLabAdmin1!,建议在模板中修改或部署时自定义。

日志分析工作流

在portal.azure.com中需手动将虚拟机连接到Log Analytics工作区以启用日志采集。通过Microsoft Sentinel的日志查询功能,可使用Kusto查询语言(KQL)检索安全事件,例如检测PowerShell可疑活动:

1
2
3
4

union Event, SecurityEvent  
| where EventID in (4103, 4104, 4105, 4688)  
| where EventData contains "iex" or EventData contains "invoke" 
| project Computer, RenderedDescription

紫队演练实践

  1. 环境初始化:通过BadBlood脚本在域控中生成模拟攻击痕迹(仅限测试环境)
  2. 攻击模拟:在工作站执行PowerUp和HostRecon等工具,并通过排除策略临时禁用Defender监控
  3. 检测与告警:在Sentinel中保存有效KQL查询并配置告警规则,例如监控包含"bypass"、“git*“等关键字的进程创建事件

集成与扩展

Log Analytics代理可部署至本地服务器,实现混合云环境监控。后续可通过Azure Playbook实现告警自动响应,并参考Atomic Purple Team框架编写评估报告。

资源链接:

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次