truvineweb/SOC-Portfolio

# 🛡️ SOC 作品集：威胁检测与事件响应 欢迎来到我的安全运营中心 (SOC) 作品集。本仓库记录了我在使用行业标准工具和框架进行**漏洞管理**、**事件响应**和**安全监控**方面的实践经验。 ## 👤 关于我 我是一名安全运营分析师，专注于主动威胁搜寻和结构化事件响应。 - 🛡️ **专长：** 漏洞管理、SIEM (Splunk)、网络分析、Microsoft Sentinel。 - ⚙️ **框架：** NIST SP 800-61 r2 (事件响应)、MITRE ATT&CK。 - 💻 **语言：** Python (99.7%)、Makefile、PowerShell。 ## 🚀 精选项目 ### 🛠️ [漏洞管理 (Azure & Tenable/Nessus)](./vulnerability-management) * **环境搭建：** 在 Azure 中部署了专用的 Nessus 扫描引擎。 * **流程：** 创建了包含故意配置错误和过时软件的“目标”虚拟机。 * **工作流：** 1. 执行了经过身份验证和未经身份验证的凭据扫描。 2. 根据 CVSS 评分对漏洞进行优先级排序。 3. ** remediation (修复)：** 修补系统、更新注册表键值并加固配置。 4. **验证：** 运行后续扫描以确认修复成功，并记录“前后”安全态势。 ### 🪤 [Azure 蜜罐与事件响应](./incident-response) * **环境搭建：** 将 Azure VM 暴露给互联网作为**蜜罐**，吸引实时的暴力破解和漏洞利用尝试。 * **响应：** 一旦发生入侵，遵循 **NIST 800-61** 事件响应生命周期： 1. **检测与分析：** 通过日志分析识别攻击者的 IP 和入侵方法。 2. **遏制与根除：** 隔离 VM 并移除恶意痕迹。 3. **恢复：** 将系统恢复到干净状态。 * **文档：** 创建了详细说明时间线和经验教训的完整事件报告。 ## 📂 仓库明细 ### 🛠️ [SOClog](./SOClog) 一个基于 Kali 的 **DFIR (数字取证与事件响应) 辅助工具**，旨在通过 WinRM (NTLM) 连接到 Windows 端点。 * **核心功能：** * 收集最近的 **Sysmon** 和 **Windows Security** 事件日志。 * 生成带有 **SHA-256 哈希值**的正在运行的进程清单。 * 创建**完整性清单**（文件哈希、大小、时间戳），支持可选的 GPG 签名。 * 为每台主机输出带有时间戳的 ZIP 归档文件，用于离线取证分析。 * *注意：严格设计用于教育和实验室环境。* ### 📊 [Splunk-Detections](./splunk-detections) 配置 SIEM 环境以从多个端点摄取日志。包含自定义 **SPL (Search Processing Language)** 查询以检测： * 暴力破解登录尝试和可疑的 PowerShell 执行。 * 在既定变更窗口之外的账户创建/删除。 ### 📊 [Sentinel-Detections](./sentinel-detections-kql) 配置 Azure 环境以从多个端点摄取日志。包含自定义 **KQL (Kusto Query Language)** 查询以检测： * 暴力破解登录尝试和可疑的 PowerShell 执行。 * 在既定变更窗口之外的账户创建/删除。 ### 📜 [Detection-Playbooks](./detection-playbooks) 处理特定安全警报的分步技术指南。这些指南遵循 **NIST/SANS** 框架，以确保调查的一致性和彻底性。 ### 🕵️ [Wireshark-Captures](./wireshark-captures) 网络流量分析，比较正常用户浏览（基线）与模拟的内部侦察。包含用于隔离 **TCP SYN** 扫描模式的自定义过滤器。 ### 📜 [APT/ 恶意软件事件](./apt/malware-incident-casefile) 这个项目是对攻击者思维——以及防御者方法论的深入探索。我构建了一个受控的 VMware 环境来演练完整的端到端 APT 模拟，记录了事件的整个生命周期。这不仅仅是关于“黑客攻击”；这是对 SOC/DFIR 工作流的全面审视，从第一个警报到最后的经验总结。 ### 🕵️ [🖥️ 端点隔离与证据收集 Playbook](./endpoint-isolation-&-evidence-collection-playbook) 这个项目是使用 Microsoft Defender for Endpoint (MDE) 进行核心 EDR (端点检测与响应) 工作流的动手演练。我建立了一个受控实验室来练习分析师在疑似违规期间采取的三个最关键步骤：让设备在门户中可见、切断其网络以阻止威胁，以及提取取证包进行深度调查。 ### ⚖️ [治理与合规](./governance-compliance) 这个仓库弥合了技术 SOC 工作与高层战略之间的差距。我将我的调查映射到 NIST CSF 2.0、ISO 27001:2022 和 BSI IT-Grundschutz 等全球标准，以确保我的防御方法论符合审计要求并符合 GDPR 违规通知逻辑。 ### 🎣 [网络钓鱼](./phishing) 网络钓鱼工件的文档和分析，包括标头分析、URL 信誉检查和附件沙箱分析。 ### 🕵️ [Windows 10 DISA STIG 合规与修复实验室](./disa-stig-compliance-lab) ## 这个项目演示了 Windows 11 端点的自动加固，以满足 **Defense Information Systems Agency (DISA) Security Technical Implementation Guides (STIGs)** 标准。通过自动化这些配置并将其集成到监控栈中，该实验室展示了现代安全运营中心 (SOC) 必不可少的完整“从加固到检测”工作流。 ## 🛠️ 技术工具箱 | 类别 | 工具与技术 | | :--- | :--- | | **SIEM / 日志** | Splunk Enterprise, Azure Sentinel, Sysmon | | **DFIR 工具** | SOClog (自定义工具), Wireshark, Nmap | | **云安全** | Azure (Defender for Cloud, Log Analytics) | | **漏洞管理** | OpenVAS / Greenbone | | **操作系统** | Kali Linux, Windows Server, Windows 10/11 | | **框架** | NIST 800-61, MITRE ATT&CK | ## 📬 联系我 - **LinkedIn:** www.linkedin.com/in/truvine147

标签：AI合规, AMSI绕过, Azure, BlazeGraph, CISA项目, CTI, CVSS, GitHub Advanced Security, GPT, HTTP工具, IPv6, Microsoft Sentinel, Nessus, NIST 800-61, PowerShell, Python, Tenable, 入侵分析, 威胁检测, 安全分析师, 安全加固, 安全报告, 安全运营, 底层分析, 扫描框架, 数字取证, 无后门, 漏洞管理, 红队模拟, 网络安全, 网络安全审计, 自动化脚本, 蜜罐技术, 逆向工具, 隐私保护