abdelalim-saada/soc-incident-response-simulation

# 🛡️ SOC 监控与事件响应模拟 ## 安全运营中心 (SOC) 分析师实践项目 此仓库包含一个实操项目，模拟了**安全运营中心 (SOC) 分析师**的日常活动：监控警报、分析日志以及响应潜在的安全事件。 ## 📌 项目概述 在此项目中，我： * 安装并探索了 **Splunk Free SIEM**，用于日志摄取和分析。 * 分析了包含身份验证事件、网络活动和恶意软件检测的模拟日志。 * 识别并确定了可疑活动的优先级（登录失败、异常 IP、暴力破解尝试、恶意软件警报）。 * 构建了 **Splunk dashboards** 以可视化警报和趋势。 * 按严重程度（高、中、低）对警报进行了分类。 * 起草了**事件响应报告**以及致管理层的示例沟通邮件。 ## 📊 交付成果 * **事件响应报告** (PDF) * Splunk dashboards 及已分析警报的**截图** * **警报分类日志**（电子表格） * **沟通邮件草稿** ## 🛠️ 工具与技术 * **Splunk Free Trial** (SIEM 工具) * **Linux (Kali)** 用于环境搭建和测试 * **Excel / Sheets** 用于警报分类 * **Markdown & PDF** 用于编写报告 ## 🎯 实践技能 * 基础的 **SIEM 日志分析** * **威胁检测与分类** * **事件响应文档编写** * **SOC 分析师工作流模拟** * 有效地**报告和沟通**安全事件 ## 🚀 如何复现 1. 安装 **Splunk Free** 或使用 Splunk Cloud Trial。 2. 摄取提供的示例日志 (`SOC_Sample_Logs.txt`)。 3. 使用查询来检测异常，例如： source="SOC_Sample_Logs.txt" "login failed" | stats count by ip 4. 构建 dashboards 以可视化结果。 5. 在结构化的报告中记录你的发现。 ## 作者 **Abdelalim Saada** — 网络安全工程师 [LinkedIn](https://www.linkedin.com/in/abdelalim-saada-5732a3350/) · [GitHub](https://github.com/abdelalim-saada)

标签：安全运营, 库, 应急响应, 扫描框架, 网络安全, 防御加固, 隐私保护