SerchiMC/soc-portfolio-hub

# SOC 作品集中心 ## 🇪🇸 简介 本仓库是面向 **SOC / Blue Team** 的**技术作品集中心**。 我在这里整理和连接我开发的各个 Labs，采用循序渐进和叙事驱动的方式。 目的不是展示孤立的练习，而是**讲述一个安全事件的完整故事**，从早期迹象到更高级的攻击阶段，始终保持防御视角。 重点关注： - SOC 分析与推理 - 事件检测与响应 - 决策制定与文档编写 - 理解攻击阶段，超越具体工具 ## 渐进式 SOC 路径 本部分包含**主要 SOC Labs**，旨在按**顺序**阅读，因为它们是同一个持续发展的故事的一部分。 ### Lab 1 – IAM：初始访问 分析未授权访问、凭证滥用和认证异常。 ➜ https://github.com/SerchiMC/soc-lab-01-iam ### Lab 2 – Endpoint：恶意执行 检测可疑执行和端点活动分析。 ➜ https://github.com/SerchiMC/soc-lab-02-endpoint ### Lab 3 – 持久化 (Analytical SOC Lab) 专注于分析和 SOC 推理的实验室，旨在识别在事件看似已缓解后的持久化。 ➜ https://github.com/SerchiMC/soc-lab-03-persistence-analysis ### Lab 4 – 横向移动 (Analytical SOC Lab) 通过认证模式和 Windows 安全日志中交互式活动的缺失，分析技术性横向移动。 ➜ https://github.com/SerchiMC/soc-lab-04-lateral-movement-analysis ## Lab 5 – 入侵检测与响应 (SOC Incident Response) 在前几个阶段（初始访问、执行、持久化和横向移动）之后，最终在系统中检测到了恶意活动。 此 Lab 代表 SOC 团队通过可疑认证事件和异常行为识别出入侵的时间点。 从这一刻起，启动了事件响应流程，包括： - 安全事件分析 (4625, 4624) - 凭证泄露识别 - 持久化审查 - 远程访问端点进行调查 - 移除检测到的持久化 - 凭证重置 这标志着从隐蔽攻击转变为 SOC 主动管理的安全事件。 → https://github.com/SerchiMC/soc-lab-05-intrusion-detection-response *(故事的下一章将包括数据泄露和分析自动化。)* ## 培训与练习 Labs 本部分还将引用额外的**培训和练习 Labs**，用于加强技术和环境知识。 这些 Labs 不是主要 SOC 故事线的一部分，但提供了必要的基础。 示例包括： - Active Directory 培训环境 - Azure 身份、角色和日志记录 - Linux 基础 - 其他专项技术 Labs ## 后续步骤 随着作品集的发展，它将逐步包括： - 更高级的 SOC Labs - 逐步引入安全工具 (SIEM, EDR, 等) - 自动化和脚本编写 - **AI 应用于 SOC**，用于分析支持和决策制定 ## 🇬🇧 概述 本仓库是我的 **SOC / Blue Team 技术作品集的中心**。 它旨在组织和连接我开发的不同 Labs，遵循循序渐进和叙事驱动的方法。 与其展示孤立的练习，目标是**讲述安全事件的完整故事**，从早期指标到更高级的攻击阶段，始终从防御角度出发。 重点是： - SOC 分析和推理 - 事件检测和响应 - 决策制定和文档编写 - 理解超越特定工具的攻击阶段 ## 渐进式 SOC 路径 本部分包含**主要 SOC Labs**，旨在按**顺序**阅读，因为它们属于同一个不断发展的故事线。 ### Lab 1 – IAM：初始访问 分析未授权访问、凭证滥用和认证异常。 ➜ https://github.com/TU_USUARIO/soc-lab-01-iam ### Lab 2 – Endpoint：恶意执行 检测可疑执行和端点活动分析。 ➜ https://github.com/TU_USUARIO/soc-lab-02-endpoint ### Lab 3 – 持久化 (Analytical SOC Lab) 专注于分析的实验室，旨在识别事件看似缓解后的持久化。 ➜ https://github.com/TU_USUARIO/soc-lab-03-persistence-analysis ### Lab 4 – 横向移动 (Analytical SOC Lab) 通过认证模式和 Windows 安全日志中交互式活动的缺失，分析技术性横向移动。 ➜ https://github.com/SerchiMC/soc-lab-04-lateral-movement-analysis ## Lab 5 – 入侵检测与响应 (SOC Incident Response) 在前几个阶段（初始访问、执行、持久化和横向移动）之后，最终在系统中检测到了恶意活动。 此 Lab 代表 SOC 团队通过可疑认证事件和异常行为识别出入侵的时间点。 从这一刻起，启动了事件响应流程，包括： - 安全事件分析 (4625, 4624) - 凭证泄露识别 - 持久化审查 - 远程访问端点进行调查 - 移除检测到的持久化 - 凭证重置 这标志着从隐蔽攻击转变为 SOC 主动管理的安全事件。 → https://github.com/SerchiMC/soc-lab-05-intrusion-detection-response *(故事线的下一章将包括数据泄露和分析自动化。)* ## 培训与练习 Labs 本部分还将引用额外的**培训和练习 Labs**，用于加强技术和环境知识。 这些 Labs 不是主要 SOC 故事线的一部分，但提供了必要的基础。 示例包括： - Active Directory 培训环境 - Azure 身份、角色和日志记录 - Linux 基础 - 其他专项技术 Labs ## 后续步骤 随着作品集的增长，它将逐步包括： - 更高级的 SOC Labs - 逐步引入安全工具 (SIEM, EDR, 等) - 自动化和脚本编写 - **AI 应用于 SOC**，用于分析支持和决策制定

标签：AMSI绕过, Cloudflare, Conpot, MITRE ATT&CK, PE 加载器, Terraform 安全, Windows安全, 初始访问, 威胁检测, 子域枚举, 安全叙事, 安全实验室, 安全运营中心, 实验环境, 恶意执行, 技术作品集, 持久化攻击, 攻击链分析, 数字取证, 权限滥用, 横向移动, 终端安全, 编程规范, 网络安全, 网络安全分析师, 网络映射, 自动化脚本, 身份与访问管理, 隐私保护