Junaidsawand/SOC-Level1-Portfolio

# Junaid Ahmed | 安全运营中心 (SOC) 作品集 **威胁狩猎 • 事件响应 • 检测工程** ## 👤 执行摘要 我是一名专注于在 SOC 环境中识别、分析和缓解网络威胁的安全分析师。本作品集记录了我在“从分发到修复”生命周期中的技术能力。 通过 **TryHackMe SOC Level 1 路径**，我在模拟安全环境中积累了大量实战时长，专攻 SIEM 日志分析、网络取证和端点安全。我的方法论根植于 NIST 事件响应框架和 MITRE ATT&CK 矩阵。 ## 🛠️ 技术生态系统 * **SIEM/日志管理：** Splunk (SPL)、Microsoft Sentinel (KQL)、ELK Stack。 * **网络分析：** Wireshark、TCPDump、Zeek/Bro。 * **端点分析：** Windows 事件日志、Sysmon、EDR 遥测数据。 * **威胁情报：** VirusTotal、AbuseIPDB、Cisco Talos、URLScan.io。 * **操作系统：** Linux (Ubuntu/Kali)、Windows Server (Active Directory)。 ## 📁 作品集结构 ### 🛡️ [事件调查](./Incident-Reports/) *遵循标准化 SOC 报告格式的综合案例研究。* * **网络钓鱼分析：** 电子邮件标头取证和恶意链接提取。 * **身份验证安全：** 调查暴力破解和凭证填充。 * **恶意软件分析：** 分析可疑的进程执行和持久化机制。 ### 🔍 [检测工程](./Detection-Rules/) * 用于识别 TTP（战术、技术和程序）的自定义 **KQL** 和 **SPL** 查询。 * 基于 MITRE ATT&CK 技术的异常检测规则编写。 ### 📚 [技术笔记](./Notes/) * 深入解析 NIST 800-61r2 事件处理指南。 * 网络协议文档 (HTTP/S, DNS, SMB, Kerberos)。 ## 🚀 核心项目与实验室 * **TryHackMe SOC Level 1：** 完成了完整的防御安全学习路径，包含 20 多个真实世界的模拟实验室。 * **家庭实验室环境：** [进行中的项目] 配置 Windows/Linux 日志管道并将其接入集中式 SIEM，用于本地威胁监控。 ## 📫 与我联系 * **LinkedIn：** https://www.linkedin.com/in/junaidsawand/ * **TryHackMe：** https://tryhackme.com/p/junaidsawand

标签：安全运营, 库, 应急响应, 扫描框架, 钓鱼分析