suavesigley/SOC_Analyst_playbook
GitHub: suavesigley/SOC_Analyst_playbook
一份基于 MITRE ATT&CK 框架的 SOC 分析师调查手册,涵盖钓鱼邮件分析、恶意软件沙箱调查、威胁情报关联和事件文档记录的完整工作流程。
Stars: 0 | Forks: 0
# 🛡️ SOC Analyst Playbook
作者:**Joshua Sigley**
目标角色:**SOC Analyst / Cybersecurity Analyst / Security Operations**
# 🔎 概述
本仓库演示了使用现实世界工具和方法进行的 **安全运营中心 (SOC) 调查工作流**。
该项目模拟了 SOC 分析师如何调查和记录安全事件,包括:
• 网络钓鱼攻击
• 恶意软件执行
• 可疑网络流量
• 威胁情报关联
每项调查都遵循 **与 MITRE ATT&CK 保持一致的结构化事件响应流程** 和标准 SOC 操作程序。
# 🧰 使用的工具
• ANY.RUN
• Hybrid Analysis
• MetaDefender
• VirusTotal
• Wireshark
• TryHackMe
• MITRE ATT&CK Framework
• Markdown Documentation
# 🧠 SOC 调查工作流
调查遵循可重复的 SOC 分析方法论:
### 阶段 1 — 初始警报 / 邮件侦查
* 审查发件人域
* 检查可疑链接
* 识别网络钓鱼策略
* 提取邮件工件
### 阶段 2 — 沙箱分析
* 在沙箱中执行文件或 URL
* 观察进程行为
* 识别释放的文件
* 监控网络连接
### 阶段 3 — 威胁情报
* 将哈希值和 URL 提交至:
* VirusTotal
* MetaDefender
* Hybrid Analysis
* 记录检测率和信誉
### 阶段 4 — MITRE ATT&CK 映射
观察到的示例技术:
| Technique | Description |
| --------- | ------------------ |
| T1566.001 | Phishing via Email |
| T1204.002 | User Execution |
| T1059 | Command Execution |
| T1111 | Credential Access |
# 📂 仓库结构
```
SOC_Analyst_Playbook
│
├── reports
│ ├── 001-Threat-Report-MetaDefender.md
│ └── 002-Threat-Report-HybridAnalysis.md
│
├── soc_dashboard_simulation
│ └── incident_tracker.csv
│
├── Screenshots
│
└── README.md
```
# 🧪 示例调查
### 网络钓鱼邮件调查
针对网络钓鱼邮件活动的分析,包括:
* 邮件头分析
* URL 引爆
* 沙箱执行
* 威胁情报充实
### 恶意软件沙箱调查
使用 **Hybrid Analysis 沙箱** 进行动态恶意软件分析,包括:
* 文件行为
* 进程树
* 网络连接
* MITRE ATT&CK 映射
# 📊 事件追踪
该项目包含一个模拟的 **SOC 事件追踪器**,用于记录调查结果、严重程度评级和补救措施。
示例字段:
* 事件 ID
* 检测源
* 威胁类型
* 失陷指标
* MITRE 技术
* 分析师备注
# 🔗 相关项目
### 🧪 Project Hydra – SOC 家庭实验室
一个完整的网络安全实验室环境,用于生成安全事件和模拟攻击。
功能包括:
* 虚拟化安全实验室
* 网络分段
* 远程管理
* 文件服务器环境
* 安全监控
# 📈 未来改进
本仓库计划扩展的内容:
• VirusTotal 威胁报告调查
• 恶意软件逆向工程分析
• Wazuh SIEM 警报调查
• Security Onion 网络警报
• 暴力破解攻击调查
• 权限提升检测
# 🎯 目的
本项目展示了实用的 SOC 分析师能力,包括:
* 威胁调查
* 恶意软件分析
* 威胁情报使用
* 事件文档记录
* MITRE ATT&CK 映射
* 安全报告
# 📬 联系方式
GitHub: https://github.com/suavesigley
标签:AMSI绕过, ANY.RUN, Ask搜索, Cloudflare, DAST, Hybrid Analysis, MetaDefender, MITRE ATT&CK, SOC分析师手册, VirusTotal, Wireshark, 句柄查看, 威胁情报, 威胁检测, 安全工作流, 安全报告, 安全运营中心, 开发者工具, 恶意软件分析, 数字取证, 沙箱分析, 漏洞分析, 网络安全, 网络映射, 自动化脚本, 计算机安全事件响应团队, 路径探测, 钓鱼攻击调查, 防御加固, 隐私保护