ibondarenko1/SOC-Investigations

GitHub: ibondarenko1/SOC-Investigations

以统一、可复现的标准化格式记录 SOC 调查与事件响应报告的实战案例仓库，并通过 GitHub Actions 实现从 Issue 到案例的自动归档。

Stars: 0 | Forks: 0

# SOC 调查仓库以一致且可复现的格式记录 SOC 调查和事件响应报告。包括在 Security Onion（SierraLab IT-115 环境）上的实操实验，以及 LetsDefend SOC Analyst 培训路径中的结构化练习案例。 **[浏览案例索引 ->](cases/INDEX.md)** ## 实际效果用于实操案例的 Security Onion 控制台动画演示（Onion AI → Alerts → Hunt → Cases → case detail → Detections → Dashboards → PCAP → Grid）： ![Security Onion 控制台演示](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/6880a20281093608.gif) 本实验中的一个真实调查页面 —— `ET WEB_SERVER /etc/passwd Detected in URI`，包含完整的取证调查、建议的防御措施和结论（[case-65](cases/case-65/)）： ![SO 案例详情 — LFI /etc/passwd](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/724faf3500093614.png) 案例仪表板 —— 实验室传感器上有 27 个打开的 SO 案例： ![SO 案例仪表板](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/89da61f376093621.png) Onion AI —— 识别出单个内部主机解析恶意域名的 DNS 解析摘要（[case-66](cases/case-66/)）： ![Onion AI DNS 调查](https://static.pigsec.cn/wp-content/uploads/repos/2026/06/a39ea71739093627.png) ## 案例计数

## 仓库结构 ``` SOC-Investigations/ |-- .github/ | |-- ISSUE_TEMPLATE/ | | `-- new-case.yml # Issue form for opening a new case | `-- workflows/ | `-- generate-case.yml # Auto-creates cases/case-N/ from issues |-- cases/ | |-- INDEX.md # Categorized case index | `-- case-NN/ # Investigation folders | `-- README.md # Final SOC case report |-- templates/ | |-- case_template.md # Manual case template | `-- issue_template.md # Markdown issue body template `-- README.md ``` ## 实操 vs. 练习本仓库包含**两种**案例 —— 它们采用相同的格式，但有明确的区分： | 类型 | 来源 | 示例 | |------|--------|----------| | **实操实验** | SierraLab IT-115 Security Onion 实验室。通过真实传感器上的 Hunt -> Cases -> so-pcap 进行调查。 | case-63（PCAP 取证），case-64（SSH 暴力破解），**case-65（LFI 检测）**，**case-66（恶意 DNS 解析）** | | **SOC 培训** | LetsDefend SOC Analyst 路径 —— 以事件响应格式编写的练习报告。每个案例都带有 Source 免责声明。 | case-17 - case-62 | 目标是相同的：为每个值得展开调查的告警生成一份可复现、映射 MITRE、以证据为驱动的报告。 ## 如何创建新案例 1. **Issues -> New Issue -> "New SOC Case"**（使用 issue 表单） 2. 填写：案例标题、来源/环境、严重程度、摘要、时间线、IOC、MITRE、缓解措施、经验教训 3. 提交（标签 `new-case` 会自动应用） GitHub Action 会提取信息并自动创建 `cases/case-N/README.md`，其中包含 issue 的正文。之后你可以添加 `evidence/` 子文件夹，用于存放脱敏的日志摘录或截图。 ## 标准案例格式每个案例的 README 都遵循此结构 —— 参见 [`templates/case_template.md`](templates/case_template.md)： - **执行摘要**（2-4 句话） - **时间线**（关键时间戳） - **IOC / Artifacts** - **技术分析**（溯源路径） - **缓解 / 响应措施** - **MITRE ATT&CK 映射** - **经验教训** - **工具** ## 调查 Pipeline ``` flowchart LR A[Alert] --> B{Triage} B -->|Benign| Z[Auto-close] B -->|Suspicious| C[Enrichment / Pivot] B -->|Malicious| D[Containment] C --> E[Threat Intel + MITRE Mapping] C --> F[Evidence Capture] D --> G[Endpoint Isolation] E --> H[Case README + Issue] F --> H G --> H H --> I[GitHub Action archives to cases/] ``` ## 作者 [Ievgen Bondarenko](https://github.com/ibondarenko1) - SOC Analyst / 安全研究员

标签：CISA项目, LetsDefend, Security Onion, 安全报告, 安全运营中心 (SOC), 应急响应 (IR), 插件系统, 网络安全审计, 防御加固