Zawaddie/THM-Security-Analyst-Path
GitHub: Zawaddie/THM-Security-Analyst-Path
Stars: 0 | Forks: 0
# THM-Security-Analyst 路径
本仓库记录了我完成 TryHackMe 安全分析师路径路线图的学习历程,包含结构化的学习笔记。
我整理这个仓库是为了帮助我跟踪在该路径上学习的一致性。
## 简介
安全运营中心 是许多大型组织保障安全的中心枢纽,而初级分析师是 SOC 中需求量最大且人数众多的角色之一。
在分析师的角色中,你将处理日志,对警报进行分类和优先级排序,与团队成员及其他部门协作,并作为应对网络事件的第一道防线。
这条综合路径涵盖了必要的操作技能和技术能力,旨在让你成为一名合格的、通用的 SOC 分析师。
[TryHackMe-Security-Analyst-Path]()
该路线图包含 4 条独立的路径,我已经完成了学习并在本仓库中记录了我的历程。
[PATH A. SOC LEVEL 1]()
**MODULE 1: Blue Team 简介**
1. Junior Security Analysis Intro ✅
2. SOC Role in Blue Team ✅
3. Humans as attack Vectors
4. Systems as Attack Vectors
**MODULE 5: SOC 团队内部机制**
1. SOC L1 Alert Triage ✅
2. SOC L1 Alert Reporting ✅
3. SOC workbooks and LookUPs ✅
4. SOC Metrics and Objectives
5. Introduction to Phishing
**MODULE 5: 核心 SOC 解决方案**
1. Introduction to EDR
2. Introduction to SIEM
3. Splunk: The Basics
4. Elastic Stack: The Basics
5. Introduction to SOAR
**MODULE 6: 网络防御框架**
1. Pyramid of Pain.
2. Cyber Kill Chain
3. Unified Kill Chain
4. MITRE
5. Summit
6. Eviction
**MODULE 7: 钓鱼分析**
1. Phishing Analysis Fundamentals
2. Phishing Emails in action
3. Phishing Analysis Tools
4. Phishing prevention
5. The Greenholt Phish
6. Snapped Phish-ing Line
7. Phishing Unfolding
**MODULE 8: 网络流量分析**
1. Network Traffic Basics
2. Wireshark: The Basics
3. Wireshark: Packet Operations
4. Wireshark: Traffic Analysis
5. NetworkMiner
**MODULE 9: 网络安全监控**
1. Network Security Essentials
2. Network Discovery Detection
3. Data Exfiltration Detection
4. Man-in-the-Middle Detection
5. ID Fundamentals
6. Snort
**MODULE 10: Web 安全监控**
1. Web Security Essentials
2. Detecting Web attacks
3. Detecting Web Shells
4. Detecting Web DDoS
5. Upload and Conquer
**MODULE 11: Windows 安全监控**
1. Windows Logging for SOC
2. Windows Threat Detection 1
3. Windows Threat Detection 2
4. Windows Threat Detection 3
**MODULE 12: Linux 安全监控**
1. Linux Logging for SOC
2. Linux Threat Detection 1
3. Linux Threat Detection 2
4. Linux Threat Detection 3
5. BlackCat
**MODULE 13: SOC 恶意软件概念**
1. Malware Classification
2. Intro to Malware Analysis
3. Living Off the Land Attacks
4. Shadow Trace
**MODULE 14: 威胁分析工具**
1. Intro to Cyber Threat Intel
2. File and Hash Threat Intel
3. IP and Domain Threat Intel
4. Invite Only
**MODULE 15: SOC SIEM 分流**
1. Log Analysis with SIEM
2. Alert Triage With Splunk
3. Alert Triage With Elastic
4. ItyBity
5. Benign
**MODULE 16: SOC Level 1 capstone Challenges**
1. Tempest
2. Boogeyman 1
3. Boogeyman 2
4. Boogeyman 3
5. Hidden Hooks
6. Open Door
[PATH B: Security Analyst Level 1 (SAL1)==> Professional certification.]()
[PATH C: SOC LEVEL 2]()
[PATH D: Advanced Endpoint Investigations]()
## THM Security Analyst 状态:已完成
完成了 **TryHackMe Security Analyst Path**,在企业环境中获得了检测、分析和响应安全威胁的实战经验。该路径侧重于*防御者的视角*,强调现实世界的 SOC 操作、威胁检测和 incident response 工作流程。
### 🔍 核心能力
* **安全监控与警报分类**
* 分析来自 SIEM 和 EDR 工具的日志、警报和遥测数据
* 区分误报 和真实的安全事件
* 根据风险、影响和威胁上下文对警报进行优先级排序
* **威胁检测与分析**
* 使用行为指标和 IOC 识别恶意活动
* 检测映射到 **MITRE ATT&CK** 的常见攻击技术
* 调查恶意软件、网络钓鱼、暴力破解 和横向移动 活动
* **事件响应**
* 执行初步的事件分类和遏制措施
* 收集并分析取证工件(日志、网络流量、端点)
* 记录调查结果并建议补救步骤
* **网络与端点可见性**
* 使用 Wireshark 和 Zeek 等工具分析网络流量
* 调查端点活动和可疑进程行为
* 检测命令与控制 (C2) 和数据渗出 模式
* **威胁情报与报告**
* 利用威胁情报源丰富警报信息
* 关联多个数据源的事件
* 为相关方生成清晰、可操作的事件报告
### 🧠 分析师思维
* 防御者优先思维:关注 **可见性、检测和响应**
* 高度注重细节和调查好奇心
* 在警报驱动的环境中能够承受压力工作
* 安全决策以证据、上下文和影响为指导
### 🛠️ 工具与技术
* SIEM 概念和日志分析
* Wireshark, Zeek, Sysmon
* 威胁情报平台
* MITRE ATT&CK 框架
* Windows & Linux 日志分析
### 📌 成果
该路径增强了我作为 **SOC / Blue Team Security Analyst** 的操作能力,能够及早识别威胁、有效响应,并通过持续监控和分析支持组织的安全态势。
[PATH A. SOC LEVEL 1]()
**MODULE 1: Blue Team 简介**
1. Junior Security Analysis Intro ✅
2. SOC Role in Blue Team ✅
3. Humans as attack Vectors
4. Systems as Attack Vectors
**MODULE 5: SOC 团队内部机制**
1. SOC L1 Alert Triage ✅
2. SOC L1 Alert Reporting ✅
3. SOC workbooks and LookUPs ✅
4. SOC Metrics and Objectives
5. Introduction to Phishing
**MODULE 5: 核心 SOC 解决方案**
1. Introduction to EDR
2. Introduction to SIEM
3. Splunk: The Basics
4. Elastic Stack: The Basics
5. Introduction to SOAR
**MODULE 6: 网络防御框架**
1. Pyramid of Pain.
2. Cyber Kill Chain
3. Unified Kill Chain
4. MITRE
5. Summit
6. Eviction
**MODULE 7: 钓鱼分析**
1. Phishing Analysis Fundamentals
2. Phishing Emails in action
3. Phishing Analysis Tools
4. Phishing prevention
5. The Greenholt Phish
6. Snapped Phish-ing Line
7. Phishing Unfolding
**MODULE 8: 网络流量分析**
1. Network Traffic Basics
2. Wireshark: The Basics
3. Wireshark: Packet Operations
4. Wireshark: Traffic Analysis
5. NetworkMiner
**MODULE 9: 网络安全监控**
1. Network Security Essentials
2. Network Discovery Detection
3. Data Exfiltration Detection
4. Man-in-the-Middle Detection
5. ID Fundamentals
6. Snort
**MODULE 10: Web 安全监控**
1. Web Security Essentials
2. Detecting Web attacks
3. Detecting Web Shells
4. Detecting Web DDoS
5. Upload and Conquer
**MODULE 11: Windows 安全监控**
1. Windows Logging for SOC
2. Windows Threat Detection 1
3. Windows Threat Detection 2
4. Windows Threat Detection 3
**MODULE 12: Linux 安全监控**
1. Linux Logging for SOC
2. Linux Threat Detection 1
3. Linux Threat Detection 2
4. Linux Threat Detection 3
5. BlackCat
**MODULE 13: SOC 恶意软件概念**
1. Malware Classification
2. Intro to Malware Analysis
3. Living Off the Land Attacks
4. Shadow Trace
**MODULE 14: 威胁分析工具**
1. Intro to Cyber Threat Intel
2. File and Hash Threat Intel
3. IP and Domain Threat Intel
4. Invite Only
**MODULE 15: SOC SIEM 分流**
1. Log Analysis with SIEM
2. Alert Triage With Splunk
3. Alert Triage With Elastic
4. ItyBity
5. Benign
**MODULE 16: SOC Level 1 capstone Challenges**
1. Tempest
2. Boogeyman 1
3. Boogeyman 2
4. Boogeyman 3
5. Hidden Hooks
6. Open Door
[PATH B: Security Analyst Level 1 (SAL1)==> Professional certification.]()
[PATH C: SOC LEVEL 2]()
[PATH D: Advanced Endpoint Investigations]()
## THM Security Analyst 状态:已完成
完成了 **TryHackMe Security Analyst Path**,在企业环境中获得了检测、分析和响应安全威胁的实战经验。该路径侧重于*防御者的视角*,强调现实世界的 SOC 操作、威胁检测和 incident response 工作流程。
### 🔍 核心能力
* **安全监控与警报分类**
* 分析来自 SIEM 和 EDR 工具的日志、警报和遥测数据
* 区分误报 和真实的安全事件
* 根据风险、影响和威胁上下文对警报进行优先级排序
* **威胁检测与分析**
* 使用行为指标和 IOC 识别恶意活动
* 检测映射到 **MITRE ATT&CK** 的常见攻击技术
* 调查恶意软件、网络钓鱼、暴力破解 和横向移动 活动
* **事件响应**
* 执行初步的事件分类和遏制措施
* 收集并分析取证工件(日志、网络流量、端点)
* 记录调查结果并建议补救步骤
* **网络与端点可见性**
* 使用 Wireshark 和 Zeek 等工具分析网络流量
* 调查端点活动和可疑进程行为
* 检测命令与控制 (C2) 和数据渗出 模式
* **威胁情报与报告**
* 利用威胁情报源丰富警报信息
* 关联多个数据源的事件
* 为相关方生成清晰、可操作的事件报告
### 🧠 分析师思维
* 防御者优先思维:关注 **可见性、检测和响应**
* 高度注重细节和调查好奇心
* 在警报驱动的环境中能够承受压力工作
* 安全决策以证据、上下文和影响为指导
### 🛠️ 工具与技术
* SIEM 概念和日志分析
* Wireshark, Zeek, Sysmon
* 威胁情报平台
* MITRE ATT&CK 框架
* Windows & Linux 日志分析
### 📌 成果
该路径增强了我作为 **SOC / Blue Team Security Analyst** 的操作能力,能够及早识别威胁、有效响应,并通过持续监控和分析支持组织的安全态势。标签:AMSI绕过, BurpSuite集成, Cloudflare, DNS通配符暴力破解, EDR, Elastic Stack, Incident Response, MITRE ATT&CK, MIT许可证, PE 加载器, Phishing, SOAR, TryHackMe, Writeup, 初级安全分析师, 告警分诊, 威胁检测, 子域枚举, 学习路线, 安全工程, 安全运营中心, 实验报告, 技能提升, 流量重放, 漏洞修复, 笔记, 网络安全, 网络安全培训, 网络映射, 网络杀伤链, 网络流量分析, 脆弱性评估, 速率限制, 钓鱼分析, 隐私保护