ahnpj/security-operations-workflows

## 安全运营工作流 本仓库包含**基于真实 SOC 和蓝队执行实践构建的动手安全运营工作流**。每个工作流都捕获了端到端完成常见运营任务的方式——包括命令、切换、验证逻辑以及分析师用于得出可辩护结论的推理过程。 工作流根据**主要运营领域**（端点排查、SIEM 检测、网络流量分析、身份与访问、自动化/日志处理、漏洞管理）组织到分类文件夹中。每个工作流文件夹都是自包含的，设计为像内部运行手册执行一样阅读：**你做了什么、为什么这么做、看到了什么，以及这意味着什么**。 这些说明强调基于证据的验证、可重复的分析流程和实用的执行模式——而不仅仅是工具功能。 --- ### 从这里开始：如何浏览本仓库 👉 **按分类文件夹浏览** 在仓库顶层，你会看到按**主要运营领域**组织的文件夹（例如：端点排查、SIEM 检测、网络流量分析、身份与访问）。请选择与你要练习或参考的任务类型最匹配的类别。 👉 **每个子文件夹都是一个完整的工作流执行** 在每个分类中，每个工作流文件夹都是一个**自包含的操作任务**，从头到尾都有文档记录，包括执行步骤和支持说明。 👉 **先跟随工作流执行** 从工作流文件夹中的 `workflow-execution.md` 开始，查看逐步的命令执行、切换和验证逻辑。 👉 **使用分析师笔记理解决策** 阅读 `analyst-notes.md`，了解假设、解释、边界情况，以及为什么某些切换或检查在真实调查中很重要。 👉 **参考工具使用说明获取语法与模式** 将 `tool-usage-notes.md` 作为可复用的命令语法、解析模式及“注意事项”参考。 👉 **在存在时查阅自动化设计说明** 部分工作流包含 `automation-design-notes.md`，展示如何将该工作流转换为可重复的脚本、解析逻辑或检测自动化。 👉 **将本仓库作为基于执行的实战学习** 这些工作流设计为像 **SOC 运行手册执行** 一样阅读，不仅展示“运行什么”，还展示分析师如何验证结果并避免错误结论。 --- ### 本仓库如何组织 本仓库按**分类文件夹**组织，这些文件夹是你浏览仓库时看到的一级目录。 每个分类代表一个主要的安全运营领域，用于将相关工作流分组。工作流根据**分析师主要执行的任务**（而非仅使用的工具）放入相应类别。 每个工作流都位于其分类下的独立文件夹中，包含理解并重复该任务所需的文档、笔记和支持证据。 #### 分类文件夹（顶级目录） | 分类文件夹 | 工作流重点 | 内部内容 | |---|---|---| | **endpoint-triage-and-host-analysis/** | 端点排查与主机分析工作流，专注于使用原生工具验证主机状态和可疑行为。 | Windows 与 Linux 主机排查：进程/服务检查、文件系统取证、网络暴露验证、快速健康与持久性检查。 | | **siem-detections-and-log-analysis/** | 以 SIEM 为中心的工作流，用于解析、规范化和分析遥测数据以进行调查和检测。 | 基于 SPL 的调查、字段提取与规范化、摄入修正、检测就绪数据整理（包括 VPN 远程访问异常分析）。 | | **network-monitoring-and-traffic-analysis/** | 网络监控与流量分析工作流，专注于数据包捕获与协议级分析。 | 使用 tcpdump 的有界捕获，以及 Wireshark 中的深入 PCAP 分析（过滤、会话重建、证据提取）。 | | **identity-and-access-management/** | 身份与访问管理工作流，专注于目录操作与权限验证。 | Active Directory 用户/组管理、委派、组织单位管理，以及使用标准企业工具进行访问控制验证。 | | **detection-automation-and-log-processing/** | 自动化与日志处理工作流，专注于将原始遥测转换为可重复的检测逻辑。 | 基于 Python 的解析/分析、将日志转换为结构化信号，以及行为检测的原型设计。 | | **vulnerability-management-and-exposure-analysis/** | 漏洞管理与暴露分析工作流，专注于暴露分析、优先级划分和修复跟踪。 | 当前尚无工作流；该分类为未来扩展预留。 | --- ### 工作流如何组织与结构化 工作流采用两级层次结构： 1. **分类文件夹** — 按主要运营领域对任务进行分组 2. **工作流文件夹** — 每个独立的操作任务位于其自己的文件夹中 每个工作流文件夹是自包含的，代表**一个完整的执行说明文档**。 **命名约定：** 工作流文件夹采用 **工具优先** 的命名方式，后接操作重点（例如：`powershell-windows-endpoint-triage-and-system-inspection`、`tcpdump-targeted-packet-capture-and-filtering`、`splunk-vpn-remote-access-anomaly-detection`）。这种命名方式便于快速扫描仓库并立即理解平台和任务。 --- ### 本工作流的设计理念 本仓库是**任务优先**，而非工具文档优先。 你将找到： - 步骤化的操作执行（`workflow-execution.md`），包含命令与切换、验证逻辑 - 分析师推理与解释（`analyst-notes.md`） - 可复用的工具/参考说明（`tool-usage-notes.md`） - 支持截图与证据（`images/`） - 存在时用于自动化转换的设计说明（`automation-design-notes.md`） 目标是记录一位有能力的 SOC 分析员在执行运行手册时的内容：**检查了什么、为何检查、如何验证结果，以及从证据中得出什么结论（以及不能得出什么）**。 --- ### 每个工作流文件夹中的标准文件 虽然并非每个工作流都需要全部文件，但工作流文件夹通常包含以下支持文档： | 文件 / 文件夹 | 用途 | 内容与重点 | |---|---|---| | **工作流 README** (`README.md`) | 快速入门说明 | 定义操作目的、范围、假设、工具以及工作流旨在展示的内容 | | **工作流执行** (`workflow-execution.md`) | 逐步动手执行 | 实际命令流程与分析师切换，包括运行内容、观察要点与结果验证 | | **分析师笔记** (`analyst-notes.md`) | 推理、解释与边界情况 | 为何执行特定检查、如何避免常见错误，以及如何解读模糊输出 | | **工具使用说明** (`tool-usage-notes.md`) | 可复用的工具参考 | 命令标志、解析模式、操作“注意事项”，可在多次排查中复用 | | **自动化设计说明** (`automation-design-notes.md`) | 将执行转换为自动化（存在时） | 解析逻辑、数据结构、检测逻辑设计，以及如何通过脚本或定时任务实现工作流 | | **截图与支持证据** (`images/`) | 可视化验证依据 | 工作流执行与说明中引用的截图，用于支持结论 | 这些文件将**执行、推理与参考材料**分离为清晰的组件，同时保持所有内容与同一操作任务关联。 --- ### 分类文件夹与当前工作流 #### ▶️ 端点排查与主机分析工作流 `endpoint-triage-and-host-analysis/` 当前工作流： - **Linux 端点排查与基于脚本的验证逻辑（使用 Bash）—— 操作执行** 实时主机枚举、文件系统检查、Shell 环境感知，以及使用 Bash 进行基础自动化。工具：Linux（Ubuntu）、Bash shell、原生命令行工具、基于 SSH 的访问。 文件夹：`endpoint-triage-and-host-analysis/bash-linux-endpoint-triage-and-validation-scripting/` - **Windows 端点排查与网络暴露验证（使用 CMD 与 PowerShell）—— 操作执行** 文件系统检查、进程枚举、网络关联分析，以及使用原生 Windows CLI 工具进行有针对性的包含。工具：Windows CMD、PowerShell、原生 Windows 系统工具。 文件夹：`endpoint-triage-and-host-analysis/cmd-windows-process-and-network-triage/` - **Windows 端点排查与系统检查（使用 PowerShell）—— 操作执行** 进程检查、文件系统验证、服务分析、网络检查、完整性验证，以及使用 PowerShell 进行远程执行。工具：Windows PowerShell、原生 Windows 遥测与服务。 文件夹：`endpoint-triage-and-host-analysis/powershell-windows-endpoint-triage-and-system-inspection/` #### ▶️ SIEM 检测与日志分析工作流 `siem-detections-and-log-analysis/` 当前工作流： - **使用 Splunk 进行日志解析、事件归一化与字段提取以支持检测查询—— 操作执行** 摄入管道设计、事件边界修正、敏感数据脱敏，以及为检测准备的结构化遥测字段提取。工具：Splunk Enterprise、Linux 命令行、Splunk 配置文件（`inputs.conf`、`props.conf`、`transforms.conf`、`fields.conf`）。 文件夹：`siem-detections-and-log-analysis/splunk-log-parsing-and-field-extraction/` - **使用 Splunk 进行 VPN 认证与远程访问异常分析—— 操作执行** 认证分析、地理异常检测、会话结果分析，以及使用 VPN 遥测建立基线。工具：Splunk Enterprise、SPL（搜索处理语言）、使用 `spath` 进行 JSON 字段提取。 文件夹：`siem-detections-and-log-analysis/splunk-vpn-remote-access-anomaly-detection/` #### ▶️ 网络监控与流量分析工作流 `network-monitoring-and-traffic-analysis/` 当前工作流： - **使用 tcpdump 进行有针对性的数据包捕获与流量过滤—— 操作执行** 接口验证、有界数据包捕获、协议过滤，以及为离线分析做准备。工具：Linux、tcpdump、原生网络工具。 文件夹：`network-monitoring-and-traffic-analysis/tcpdump-targeted-packet-capture-and-filtering/` - **使用 Wireshark 进行流量过滤、协议解析与会话重建—— 操作执行** 协议检查、OSI 层解析、会话重建，以及从数据包捕获中提取证据。工具：Wireshark、存储的 PCAP 与 PCAPNG 捕获文件。 文件夹：`network-monitoring-and-traffic-analysis/wireshark-traffic-analysis-and-session-reconstruction/` #### ▶️ 身份与访问管理工作流 `identity-and-access-management/` 当前工作流： - **使用 Active Directory 进行身份与访问管理操作—— 操作执行** 用户与组管理、组织单位管理、委派，以及使用标准企业工具进行访问控制验证。工具：Windows Server、Active Directory 域服务、Active Directory 用户与计算机（ADUC）、组策略管理控制台（GPMC）。 文件夹：`identity-and-access-management/active-directory-iam-operations-and-permission-validation/` #### ▶️ 检测自动化与日志处理工作流 `detection-automation-and-log-processing/` 当前工作流： - **使用 Python 进行日志解析与威胁检测自动化—— 操作执行** 从多环境原始安全遥测构建基于行为的检测逻辑原型。工具：Python（标准库）、Linux Shell 环境（Google Cloud Shell）、多格式日志数据集。 文件夹：`detection-automation-and-log-processing/python-log-parsing-and-threat-detection/` #### ▶️ 漏洞管理与暴露分析工作流 `vulnerability-management-and-exposure-analysis/` 当前工作流： - *(该分类目前尚无工作流；计划未来添加。)* --- ### 分类之间的重叠 分类之间的重叠是预期且有意的。 单个工作流可能涉及： - 端点工件 - 身份上下文 - 网络指标 - SIEM 查询与字段提取 我们不会在不同分类中重复完整工作流，而是根据**主要任务（待完成的工作）**进行分类，并在文档中提供必要的跨域上下文以验证结果。 --- ### 与调查和案例工作的关系 本仓库记录的是**如何执行常见 SOC 任务**。 基于案例的完整事件叙述（时间线、发现）保存在独立的调查仓库中，以便本仓库专注于可复用的操作执行模式。 在相关情况下，工作流可作为构建模块，用于展示可重复的操作流程如何在真实调查决策中落地。 --- ### 持续演进 随着更多工具、验证步骤和自动化方法的加入，工作流可能会持续扩展。 更新旨在反映渐进式改进，类似于真实 SOC 运行手册通过重复使用和事后复盘不断成熟的过程。

标签：AI合规, BurpSuite集成, GPT, runbook, SIEM检测, 任务驱动, 分析师实践, 取证验证, 可重复流程, 安全流程, 安全运营, 实战演练, 工作流, 应用安全, 扫描框架, 操作思维, 检测与响应, 漏洞管理, 端点排查, 网络流量分析, 自动化日志处理, 证据处理, 调查取证, 身份与访问管理, 逆向工具