Ak-cybe/soc-roadmap-2026

## 📋 目录

🔽 点击展开

- [🎯 概述](#-overview) - [🎁 你将获得什么](#-what-you-get) - [🚀 快速开始](#-quick-start) - [🛤️ 学习路径](#️-learning-paths) - [📂 项目作品集](#-project-portfolio) - [🟢 基础项目 (1-6)](#-foundation-projects-1-6) - [🟡 自动化项目 (7-8)](#-automation-projects-7-8) - [🔵 AI 与新兴技术 (9-10)](#-ai--emerging-tech-9-10) - [🔴 攻防精通 (11-14)](#-offensive-defensive-mastery-11-14) - [🛠️ 技术栈](#️-technology-stack) - [📈 职业发展](#-career-outcomes) - [🎓 认证](#-certifications) - [📁 仓库结构](#-repository-structure) - [🤝 贡献](#-contributing)

## 🎯 概述 ### ⚡ SOC 领域已彻底改变 到 2026 年，**网络犯罪将成为一个价值 20 万亿美元的经济体**。平均数据泄露成本高达 **488 万美元**。攻击窗口期已从数周缩短至**数小时**。 本培训计划旨在为你迎接**新现实做准备：** | 2026 现实 | 意味着什么 | |---|---| | 🤖 AI 代理处理 90% 以上的日常分诊 | 你负责**监督** AI，而不是手动分诊 | | 🤝 人机协作是基本要求 | 你负责**构建**协作工作流 | | ⚙️ SOAR 编排是强制性的 | 你负责**设计**自动化响应链 | | ☁️ 云原生、身份优先安全 | 你负责在 AWS/Azure/GCP **进行调查** | | 🎯 情报驱动运营 | 你负责**构建**由 ML 驱动的威胁情报 pipeline | | 🟣 紫队验证是期望标准 | 你既要**攻击又要防御** —— 具备 CISO 思维 | ## 🎁 你将获得什么 ### 📚 核心文档（超过 250,000 字） | 文档 | 用途 | ⏱️ 阅读时间 | |:---------|:--------|:-------------| | 📖 [快速入门指南.md](QUICK-START-GUIDE.md) | 第 1 周行动计划、平台设置 | 20 分钟 | | 🗺️ [SOC 分析师路线图.md](SOC-Analyst-Roadmap.md) | 原始总计划（项目 1-6） | 10 分钟 | | 🚀 [2026 自动化优先路线图.md](2026-Automation-First-Roadmap.md) | 未来愿景（AI、SOAR、云、CISO 路径） | 40 分钟 | | 🔗 [集成指南.md](INTEGRATION-GUIDE.md) | 一切如何协同工作 | 35 分钟 | ### 🛠️ 14 个项目模板 —— 全部完成 | 类别 | 项目 | 状态 | |:---------|:---------|:-------| | 🟢 基础（手动技能） | P1-P6 | ✅ 完成 | | 🟡 自动化与编排 | P7-P8 | ✅ 完成 | | 🔵 AI 与新兴技术 | P9-P10 | ✅ **全新 —— 完成** | | 🔴 攻防精通 | P11-P14 | ✅ **全新 —— 完成** | **每个模板均包含：** - ✅ 包含真实命令和代码的逐日执行计划 - ✅ 证据获取指南 - ✅ 3 个版本的简历要点（**与 CISO 路径对齐**） - ✅ STAR 法则面试回答 - ✅ 培养技能清单 - ✅ 需要避免的常见错误 - ✅ 可量化的指标与成果 ## 🚀 快速开始 **步骤 1️⃣ —— 阅读快速入门指南** ``` cat QUICK-START-GUIDE.md ``` **步骤 2️⃣ —— 创建平台账户**（全部免费） | 平台 | 用途 | 链接 | |:---------|:--------|:-----| | 🔵 LetsDefend | SOC 监控实验室 | [letsdefend.io](https://letsdefend.io) | | 🟢 TryHackMe | SIEM 与 IR 实验室 | [tryhackme.com](https://tryhackme.com) | | 🟡 CyberDefenders | 蓝队 CTF | [cyberdefenders.org](https://cyberdefenders.org) | **步骤 3️⃣ —— 开始项目 1** ``` cat templates/Project-1-Template.md ``` ## 🛤️ 学习路径 ### 🏃 **路径 A：快速通道**（10-12 周） | 详情 | 价值 | |:-------|:------| | 📋 项目 | 1, 2, 3, 7 | | 📝 简历要点 | 9-12 | | 📂 作品集项目 | 4 | | 💼 开始申请 | 第 10 周 | ### 🔧 **路径 B：完整专业版**（16-20 周） | 详情 | 价值 | |:-------|:------| | 📋 项目 | 1-7（所有基础 + SOAR） | | 📝 简历要点 | 15-18 | | 📂 作品集项目 | 7 + GitHub 检测代码库 | | 💼 开始申请 | 第 16 周 | ### 🚀 **路径 C：自动化优先领导者**（20-28 周） | 详情 | 价值 | |:-------|:------| | 📋 项目 | 1-10（完整自动化套件） | | 📝 简历要点 | 20+ | | 📂 作品集 | ML 模型、STIX 包、PQC 评估 | | 💼 开始申请 | 第 20 周及以后 | ### 👑 **路径 D：CISO 路径精英**（28-40 周）—— ⭐ 全新 | 详情 | 价值 | |:-------|:------| | 📋 项目 | 1-14（全面精通） | | 📝 简历要点 | 42+ 条与 CISO 对齐的要点 | | 📂 作品集 | AD 攻击、云取证、APT 模拟、YARA 规则 | | 💼 目标职位 | 安全架构师、高级安全工程师、CISO 赛道 | ## 📂 项目作品集 ### 🟢 基础项目 (1-6) | # | 项目 | 平台 | ⏱️ 时长 | 📊 难度 | 🔑 关键技能 | |:-:|:--------|:---------|:-----------|:-------------|:-------------| | **1** | [🔍 实时 SOC 监控](templates/Project-1-Template.md) | LetsDefend | 2-3 周 | 🟢 初级 | 告警分诊、日志分析 | | **2** | [📧 钓鱼邮件分析](templates/Project-2-Template.md) | CyberDefenders | 1-2 周 | 🟢 初级-中级 | 邮件取证、IOC 提取 | | **3** | [🖥️ 事件响应 (SIEM)](templates/Project-3-Template.md) | TryHackMe | 2-3 周 | 🟡 中级 | Splunk/Elastic、MITRE ATT&CK | | **4** | [🔐 勒索软件取证](templates/Project-4-Template.md) | CyberDefenders | 2 周 | 🟡 中级-高级 | 内存/PCAP 分析 | | **5** | [🎯 威胁狩猎](templates/Project-5-Template.md) | TryHackMe | 2-3 周 | 🟡 中级-高级 | 假设驱动的狩猎 | | **6** | [⚙️ 检测工程](templates/Project-6-Template.md) | 家庭实验室 | 2-3 周 | 🔴 高级 | Sigma 规则、GitHub 发布 | ### 🟡 自动化项目 (7-8) | # | 项目 | 平台 | ⏱️ 时长 | 📊 难度 | 🔑 关键技能 | |:-:|:--------|:---------|:-----------|:-------------|:-------------| | **7** | [🤖 自动化钓鱼响应器](templates/Project-7-Template.md) | Wazuh + Shuffle + TheHive | 2-3 周 | 🔴 高级 | SOAR playbook、API 集成 | | **8** | [🧠 自动化威胁情报平台](templates/Project-8-Template.md) | MISP + OpenCTI + Cortex + ML | 3-4 周 | 🔴 **企业级** | ML 过滤、STIX/TAXII、自动检测 | **🌟 项目 8 亮点：** - 🤖 ML 模型（89% 准确率）将 10,000 个 IOC 过滤为 50 个可操作项 - ⚡ 情报 → 检测时间：**5 分钟**（手动需 5 天） - 🎯 自动生成 Sigma 规则 + SIEM 部署 - 📊 集成了 15+ 个威胁情报源 ### 🔵 AI 与新兴技术 (9-10) —— ⭐ 全新 | # | 项目 | 平台 | ⏱️ 时长 | 📊 难度 | 🔑 关键技能 | |:-:|:--------|:---------|:-----------|:-------------|:-------------| | **9** | [🧠 AI 辅助威胁狩猎](templates/Project-9-Template.md) | Jupyter + LLM API + Splunk | 2-3 周 | 🔴 高级 | AI 监督、prompt 工程、STIX 2.1 | | **10** | [🔐 后量子密码学](templates/Project-10-Template.md) | OpenSSL + liboqs + 实验室 | 2 周 | 🔴 高级 | NIST PQC、混合 TLS、密码资产盘点 | **🌟 项目 9 亮点：** - 🤖 LLM 代理在 Jupyter 中执行自主日志分析 - 📊 狩猎周期时间：**45 分钟**（手动需 8 小时 —— 快 91%） - 🛡️ 内置 AI 幻觉验证协议 - 📦 自动生成 STIX 2.1 情报包 **🌟 项目 10 亮点：** - 🔬 盘点 200 多种密码学实现 - 🔒 部署混合 TLS（经典 + ML-KEM-768） - 📋 包含成本分析的 36 个月迁移路线图 - 🏢 高管简报 —— 董事会级别的风险沟通 ### 🔴 攻防精通 (11-14) —— ⭐ 全新 | # | 项目 | 平台 | ⏱️ 时长 | 📊 难度 | 🔑 关键技能 | |:-:|:--------|:---------|:-----------|:-------------|:-------------| | **11** | [🏰 AD 攻防实验室](templates/Project-11-Template.md) | 家庭实验室 + BloodHound + Impacket | 3 周 | 🔴 高级 | Kerberoasting、DCSync、PtH、黄金票据 + 检测 | | **12** | [☁️ 云安全调查](templates/Project-12-Template.md) | AWS + Azure + Prowler | 3 周 | 🔴 高级 | CloudTrail 取证、Sentinel KQL、PIM 滥用 | | **13 | [🟣 紫队演练](templates/Project-13-Template.md) | ATT&CK Navigator + Atomic Red Team | 2 周 | 🔴 高级 | APT 模拟、完整杀伤链、覆盖矩阵 | | **14** | [🦠 恶意软件逆向工程](templates/Project-14-Template.md) | FlareVM + Any.Run + Wireshark | 2 周 | 🔴 高级 | 静态/动态分析、YARA 规则、C2 分析 | **🌟 项目 11 亮点：** - 🏰 部署具有 BadBlood 漏洞的 2,500+ 用户 AD - ⚔️ 执行 6 种 AD 攻击 + 为每种攻击构建 Sigma 检测 - 🗺️ BloodHound 攻击路径分析 → 域管理员路径为 0 - 📊 100% 检测覆盖率，MTTD < 5 分钟 **🌟 项目 13 亮点：** - 🎭 重现真实的 APT 活动（Scattered Spider） - 🔴🔵 红队攻击 + 蓝队检测每一步 - 🗺️ ATT&CK Navigator 热力图 —— 100% 覆盖 - 📊 12 种技术，平均 MTTD 为 2.1 分钟 **🌟 项目 14 亮点：** - 🔬 静态分析：PEStudio、FLOSS、字符串提取 - 💥 动态分析：Any.Run 沙箱、行为监控 - 🌐 网络分析：Wireshark C2 流量解码 - ✍️ 编写 5+ 条 YARA 规则，95% 检出率，0% 误报 ## 🛠️ 技术栈 ### 🏗️ 平台（免费且开源） | 类别 | 工具 | |:---------|:------| | 🎓 **培训** | LetsDefend • TryHackMe • CyberDefenders | | 📊 **SIEM/EDR** | Splunk Free • Elastic Stack • Wazuh | | ⚙️ **SOAR** | Shuffle • TheHive • Cortex | | 🧠 **威胁情报** | MISP • OpenCTI • AlienVault OTX | | 🔍 **检测** | Sigma • YARA • Suricata | | 🤖 **AI/ML** | Python scikit-learn • Jupyter • OpenAI/Claude API | | ⚔️ **进攻** | Impacket • Mimikatz • BloodHound • Atomic Red Team | | 🔬 **恶意软件分析** | FlareVM • Any.Run • PEStudio • Wireshark | | ☁️ **云安全** | AWS CloudTrail • Azure Sentinel • Prowler | | 🔐 **密码学** | OpenSSL 3.x • liboqs • oqs-provider | ## 📈 职业发展 ### 📅 时间线预期 | 周 | 🏆 里程碑 | 💼 职业准备度 | |:-----|:------------|:----------------| | **8-10** | 完成项目 1-3 | ✅ 入级 SOC 分析师 Tier-1 | | **12-16** | 完成项目 1-7 | ✅ 中级 SOC / 检测分析师 | | **20-24** | 完成项目 1-10 + 认证 | ✅ AI SOC 工程师、Tier 4 编排员 | | **28-40** | 完成项目 1-14 | 👑 安全架构师 → CISO 路径 | ### 📝 简历蜕变 **❌ 之前（平庸）：** ``` • Studied cybersecurity fundamentals • Completed online courses ``` **✅ 参加本计划后：** ``` • Monitored and triaged 150+ security alerts, achieving 92% TP/FP accuracy • Architected SOAR pipeline reducing MTTC from 45 minutes to 3 minutes • Built ML-powered TIP processing 12,500 IOCs/day with 89% accuracy • Led purple team exercise emulating APT campaign with 100% detection coverage • Analyzed 10+ malware samples, authoring YARA rules with 95% detection rate • Conducted multi-cloud security investigations across AWS and Azure ``` ### 🏆 竞争优势 | 候选人类型 | 具备条件 | 你的优势 | |:---------------|:---------------|:---------------| | 😐 普通 | 仅完成课程 | 你拥有 **14 个实战项目** | | 🙂 优秀 | 2-3 个基础项目 | 你拥有 **SOAR + ML 自动化** | | 😊 前 10% | SOAR 自动化 | 你拥有 **紫队 + 云 + 逆向工程** | | 👑 **前 1%** | ← **你** | **全栈安全 + CISO 路径** 🏆 | ## 🎓 认证（可选） | 级别 | 认证 | 时间 | |:------|:---------------|:-----| | 🟢 **入门** | CompTIA Security+ • AWS Cloud Practitioner | 完成 P1-P3 后 | | 🟡 **中级** | GSEC • AZ-500 (Azure Security) • AWS Security Specialty | 完成 P1-P7 后 | | 🔴 **高级** | SEC545 (GenAI Security) • SEC598 (AI SOC) • AI-102 | 完成 P1-P10 后 | | 👑 **精英** | OSCP • CRTO • GCDA • CISSP | 完成 P1-P14 后 | ## 📁 仓库结构 ``` soc-roadmap-2026/ ├── 📖 README.md ← You are here ├── 🚀 QUICK-START-GUIDE.md ← START HERE ├── 🗺️ SOC-Analyst-Roadmap.md ├── 🤖 2026-Automation-First-Roadmap.md ├── 🔗 INTEGRATION-GUIDE.md ├── 📂 templates/ │ ├── 🟢 Project-1-Template.md (Live SOC Monitoring) │ ├── 🟢 Project-2-Template.md (Phishing Analysis) │ ├── 🟢 Project-3-Template.md (Incident Response) │ ├── 🟢 Project-4-Template.md (Ransomware Forensics) │ ├── 🟢 Project-5-Template.md (Threat Hunting) │ ├── 🟢 Project-6-Template.md (Detection Engineering) │ ├── 🟡 Project-7-Template.md (SOAR Automation) │ ├── 🟡 Project-8-Template.md (ML Threat Intel) 🚀 │ ├── 🔵 Project-9-Template.md (AI Threat Hunting) ⭐ NEW │ ├── 🔵 Project-10-Template.md (Post-Quantum Crypto) ⭐ NEW │ ├── 🔴 Project-11-Template.md (AD Attack & Defense) ⭐ NEW │ ├── 🔴 Project-12-Template.md (Cloud Security) ⭐ NEW │ ├── 🔴 Project-13-Template.md (Purple Team) ⭐ NEW │ └── 🔴 Project-14-Template.md (Malware RE) ⭐ NEW └── 📜 LICENSE ``` ## 🚀 开始使用 ### 📅 今天（30 分钟） 1. ⭐ **为该仓库点 Star** 2. 📖 阅读 [快速入门指南.md](QUICK-START-GUIDE.md) 3. 🔐 创建账户（LetsDefend、TryHackMe、CyberDefenders） ### 📅 本周（10 小时） 4. 📂 打开 [项目-1-模板.md](templates/Project-1-Template.md) 5. 🎯 完成第 1-7 天的任务（前 20 个告警） 6. 📝 开始记录你的分诊日志 ### 📅 第 8-10 周 7. ✅ 完成项目 1-3 8. 📄 用 6-9 条 SOC 要点更新简历 9. 💼 **开始申请 SOC 分析师职位** ### 📅 第 28-40 周（CISO 路径） 10. ⚔️ 完成项目 11-14 11. 👑 获得 42+ 条与 CISO 对齐的简历要点 12. 🎯 **目标：安全架构师 / 高级安全工程师职位** ## 🤝 贡献 这是一个**个人培训计划**，但欢迎参与贡献！ | 类型 | 方式 | |:-----|:----| | 🐛 Bug 报告 | 报告问题或不明确的说明 | | 💡 想法 | 提出额外的项目创意 | | 📝 成功案例 | 分享你的胜利！ | | 🔗 Pull Requests | 提交修正和改进 | **指南：** - 遵循现有的模板结构 - 保持内容的可操作性（而非纯理论） - 提交前请测试技术步骤 ## 💬 加入我们的 WhatsApp 社区 | 📚 你将获得什么 | 🎯 涵盖主题 | |:----------------|:-------------------| | 🔽 网络安全 PDF 与实验室 | 渗透测试、SOC、蓝队、红队 | | 🤖 AI 工具与资源 | ChatGPT、Claude、AI 自动化工作流 | | 💻 编码项目 | Python、JavaScript、全栈开发 | | ☁️ 云计算资料 | AWS、Azure、GCP 实验室与学习指南 | | 🌐 网络实验室 | CCNA、CompTIA Network+、数据包分析 | | 🖥️ 桌面支持笔记 | IT 支持、服务台、故障排除 | | 📝 面试准备 | 简历技巧、STAR 回答、模拟问答 | | 🎓 认证材料 | Security+、CySA+、AZ-500、AWS SAA | | 🛠️ 实用教程 | 动手实验室、真实世界项目 | | 📈 职业导向教育 | 求职、作品集构建、技能路线图 | ## 📜 许可证 本项目基于 **MIT 许可证**授权 —— 详情请参阅 [LICENSE](LICENSE)。 ✅ 用于个人学习 • ✅ 与他人分享 • ✅ 修改和调整 • ✅ 用于作品集

标签：SOAR, SOC分析师, 威胁情报, 学习路线图, 安全培训, 安全运营, 开发者工具, 扫描框架, 管理员页面发现, 自动化防御, 逆向工具