neddstarkk/soc-analyst-portfolio

# 蓝队运营作品集 一份结构化的安全实践记录，涵盖调查、检测工程、威胁情报和自动化。旨在弥合课堂知识与分析师实战执行之间的差距。 ## 仓库结构 | 文件夹 | 侧重点 | |---|---| | `/investigations` | 恶意软件分析、流量取证、警报分类和案例笔记 | | `/detection-engineering` | Sigma 规则、SPL 查询和紫队模拟报告 | | `/threat-intelligence` | CVE 分析和 APT 活动简报 | | `/scripts` | 用于 SOC 工作流自动化的 Python 实用程序 | ## 核心亮点 **[Emotet Dropper 分析](./investigations/2026-01-04-Emotet-Analysis.md)** 对多阶段的 Emotet dropper 进行了反混淆，追踪了执行流程，并提取了 IOC —— 仅涉及静态分析，无执行操作。 **[Python 后门反混淆 — CVE-2025-68664](./investigations/2026-01-20-Python-Deobfuscation.md)** 解码了利用 LangChain 的 Base64 编码 Python 后门。通过 `os.dup2` I/O 重定向分析，映射了 C2 通信流程。 **[Koi Stealer C2 检测 — Sigma 规则](./detection-engineering/2026-01-02-Sigma-KoiStealer.yml)** 编写了与供应商无关的 Sigma 规则，用于检测 Koi Stealer 的网络 Beacon 行为，以实现跨平台的 SIEM 部署。 **[Volt Typhoon 威胁情报简报](./threat-intelligence/2026-01-06-Volt-Typhoon-Analysis.md)** 分析了 Volt Typhoon 活动中的 LOLBin 工件（netsh、certutil、wmic），并记录了检测建议。 **[紫队报告 — CertUtil T1105](./detection-engineering/2026-01-10-CertUtil-Simulation.md)** 模拟了 Volt Typhoon 风格的通过 certutil 进行的入侵工具传输，验证了 Defender 的防御拦截，并记录了攻击者的渗透路径。 **[SOC 警报分类 — SQL 注入 (SOC127)](./investigations/2026-05-31-SOC-127-SQL-Injection-Detected.md)** 在 LetsDefend 上进行了端到端的警报调查：日志分析、攻击者 IP 渗透追踪以及升级文档记录。 ## 工具与技术 Splunk (SPL) · Sigma · Wireshark · MITRE ATT&CK · Python · CyberChef · AbuseIPDB · Wazuh · Elastic (KQL)

标签：CISA项目, DAST, DNS 反向解析, IP 地址批量处理, 威胁情报, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 数字取证, 网络信息收集, 自动化脚本, 逆向工具