angelicabravo1719/soc-threat-intelligence-case-studies

# SOC 威胁情报案例研究 本仓库包含结构化的 SOC 风格威胁情报和事件调查案例研究，旨在模拟真实环境下的分析师工作流。这些调查重点关注通过结合 OSINT 研究、IOC 分析、MITRE ATT&CK 映射、证据关联以及面向上报的报告，来识别、验证、记录和通报安全事件。 本仓库的目的是强化实际的网络安全分析技能，同时展示在 SOC、威胁情报和事件响应环境中常用的结构化调查思维、技术文档编写和以风险为核心的沟通能力。 ## 工作范围 本仓库内的调查重点关注： - SOC 风格的告警分诊和事件调查工作流 - OSINT 验证和威胁富化技术 - IOC 分析和上下文风险评估 - MITRE ATT&CK 框架映射 - 证据收集与关联 - 随时可上报的分析师文档 - 将技术发现转化为与业务相关的风险 - 在调查过程中区分确凿证据与假设 ## 调查方法论 每个案例研究均遵循结构化的调查方法，旨在反映实际的 SOC 和威胁分析工作流： 1. 初始告警或可疑活动识别 2. 证据收集与验证 3. IOC 富化与 OSINT 调查 4. MITRE ATT&CK 战术和技术映射 5. 风险与影响评估 6. 分析师发现与上报建议 7. 记录调查产出物和支撑证据 ## 调查类别 - 钓鱼和可疑域名调查 - 内部威胁和未经授权的访问分析 - PowerShell 与端点活动调查 - IOC 验证与富化工作流 - 基于 OSINT 的威胁验证 - 随时可上报的 SOC 文档 - 威胁分诊与证据关联 ## 工具与框架 | 类别 | 工具 / 框架 | |---|---| | OSINT | VirusTotal, URLScan.io, WHOIS, AbuseIPDB | | 网络分析 | Wireshark | | 文档 | Markdown, 证据记录, IOC 追踪 | | 框架 | MITRE ATT&CK, NIST 事件响应生命周期 | | 操作系统 | Windows, Ubuntu (WSL) | | 调查工作流 | IOC 富化, 证据关联, 上报文档 | ## 当前调查 | 案例 | 重点领域 | 状态 | |---|---|---| | 案例 01 – 可疑域名点击 | 钓鱼 / OSINT 调查 | 进行中 | | 案例 02 – 内部 IP 风险 | 未经授权的访问分析 | 进行中 | | 案例 03 – 恶意 PowerShell 活动 | 端点 / 执行分析 | 进行中 | ## 仓库结构 ``` soc-threat-intelligence-case-studies/ │ ├── README.md │ ├── cases/ │ ├── case-01-suspicious-domain-click/ │ ├── case-02-insider-ip-risk/ │ └── case-03-malicious-powershell-activity/ │ ├── templates/ │ ├── investigation-template.md │ ├── incident-report-template.md │ ├── evidence-log-template.md └── └── ioc-template.md ```

标签：ATT&CK映射, Cloudflare, ESC4, ESC漏洞, IOC分析, IP 地址批量处理, MITRE ATT&CK, Object Callbacks, OSINT, PowerShell攻击, 内部威胁, 初始访问, 反取证, 可疑域名, 告警分诊, 妥协指标, 威胁情报, 威胁情报收集, 威胁指标, 安全事件分级, 安全分析师, 安全技能培训, 安全文档写作, 安全评估, 安全运营中心, 实战演练, 库, 应急响应, 开发者工具, 恶意活动分析, 情报丰富, 执行防御规避, 报告撰写, 搜索语句（dork）, 攻击技战术, 未授权访问, 权限滥用, 案例分析, 横向移动, 终端安全, 编程规范, 网络威胁狩猎, 网络安全, 网络映射, 网络钓鱼, 警报分类, 证据关联, 证据收集, 调查报告, 速率限制处理, 防御加固, 防御矩阵, 隐私保护, 风险沟通, 鱼叉攻击