rohithbaggu56-dot/rohithbaggu56-dot

GitHub: rohithbaggu56-dot/rohithbaggu56-dot

一位 SOC 分析师的网络安全作品集,展示基于真实攻击数据和模拟场景的蓝队检测、威胁狩猎与事件响应实验室项目。

Stars: 0 | Forks: 0

# 👋 你好,我是 Rohith Baggu **SOC Analyst | 威胁狩猎 | 检测工程 | 事件响应** 我负责调查真实的攻击活动,构建检测规则,并分析跨 SIEM 和端点遥测数据的警报。 我的家庭实验室通过将检测映射到 MITRE ATT&CK 框架,模拟了真实的攻击场景。 构建了 15+ 个网络安全实验室,涵盖 Active Directory、SIEM、端点监控、IDS/IPS、威胁狩猎、钓鱼分析、检测工程和事件调查。 **实验室工作流:** `攻击者 VM → 目标 VM → Sysmon / Suricata → SIEM → 警报验证与调查` ## 🔍 我如何进行调查 每次调查都遵循相同的工作流。以下是我的实际操作步骤: 1. **检测** – 触发警报(SIEM 规则、IDS 特征码或日志异常) 2. **研判** – 这是真实的还是噪音?检查日志 3. **日志分析** – 构建时间线。发生了什么?何时发生?从哪里发生? 4. **威胁情报** – 针对外部情报源验证 IP、哈希值和域名 5. **决策** – 关闭警报(误报),升级处理(真实事件),或调整规则 这种方法论贯穿于我的每个实验室。选择一个 repo,你就会清楚地看到这种模式。 ## 🏆 精选项目 ### 真实攻击数据(真实的互联网威胁行为者)
🍯 Azure 蜜罐 – 暴露在互联网上的 Windows RDP **内容:** 故意暴露一台 Windows Server 2022 虚拟机以收集真实的攻击流量。没有模拟——真实的威胁行为者在几分钟内就发现了开放的 RDP 端口。 **关键数据:** - **14 小时内 3,404 次失败的 RDP 登录**(真实暴力破解) - 由自定义分析规则生成的 **43 个高危事件** - 通过威胁情报识别并验证了 **27 个唯一的外部 IP** - 跨阿根廷、中国、印度、日本、菲律宾的攻击者**地理位置映射** **我的工作:** - 在虚拟机上线之前,在 Microsoft Sentinel 中构建了自定义检测规则(检测优先思维) - 调查真实事件:关联警报、提取 Windows 日志、使用 VirusTotal 验证攻击者 IP - 编写 KQL 查询以狩猎失败的登录并识别成功的入侵 - 构建 workbook 以可视化攻击的地理位置和数量趋势 **工具:** Microsoft Sentinel | KQL | Azure NSG Rules | GeoIP Watchlist | VirusTotal | AbusePDB **MITRE ATT&CK:** T1110 (Brute Force), T1078 (Valid Accounts) **Repo:** [Azure-Honeypot-SOC-Lab](https://github.com/rohithbaggu56-dot/Azure-Honeypot-SOC-Lab)
📊 Splunk 事件调查 **内容:** 对为期 21 天的 SSH 身份验证日志进行了监控。真实的自动化扫描工具(非模拟)从阿根廷、中国、菲律宾、印度、日本、韩国的 IP 命中了该系统。 **关键数据:** - 分析了 **17,126 次总失败登录尝试** - 通过威胁情报验证了 **2 个恶意 IP** - 调查了 **230 次成功登录**以寻找入侵后指标 - 构建了**自定义检测 dashboard** 以实时可视化攻击模式 **我的工作:** - 编写 SPL 查询以检测密码喷射模式(多个账户,单个 IP) - 将失败尝试与成功登录相关联以识别违规行为 - 针对 AbuseIPDB 和 VirusTotal 验证可疑 IP - 构建了一个 dashboard,展示主要攻击源、失败登录趋势和目标账户 - 调查了入侵后的活动——未发现异常,系统防御成功 **工具:** Splunk Enterprise | SPL | Windows Security Event Logs | VirusTotal | AbuseIPDB **MITRE ATT&CK:** T1110 (Brute Force), T1110.003 (Password Spraying), T1078 (Valid Accounts) **Repo:** [SOC-Incident-Investigation-Splunk](https://github.com/rohithbaggu56-dot/SOC-Incident-Investigation-Splunk)
🎯 RDP 暴力破解事件 – 从检测到关闭 **内容:** Sentinel 中触发了真实的暴力破解警报。我对其进行了端到端的调查:验证威胁、检查日志、使用威胁情报进行验证、进行遏制,并最终关闭它。这是一个 L1 分析师工作流。 **调查过程:** - **警报:** 检测到来自 103.108.141.126 的高危 RDP 暴力破解 - **验证:** 来自单个 IP 的约 50 次失败登录尝试,针对多个管理员账户 - **范围检查:** 无成功登录,无横向移动,无文件访问 - **威胁情报:** VirusTotal 将该 IP 标记为恶意(10/94 个安全厂商),以 SSH/RDP 扫描闻名 - **采取的行动:** 在防火墙阻止 IP,将 RDP 限制为受信任的子网,强制执行账户锁定策略 - **结果:** 事件作为真实攻击(已遏制)被关闭 **这展示了什么:** - 多层验证(SIEM 警报 + IDS 日志 + 威胁情报 + 防火墙规则一致) - 务实的 L1 思维方式(在升级前进行验证) - 事件遏制与补救 - 理解日志在不同层级讲述不同的故事 **工具:** Microsoft Sentinel | KQL | Suricata IDS | VirusTotal | Azure NSG Rules | Windows Defender Firewall **MITRE ATT&CK:** T1110.003 (Password Spraying), T1021.001 (RDP) **Repo:** [SOC-Workflow-RDP-Brute-Force-Suricata-Sentinel](https://github.com/rohithbaggu56-dot/SOC-Workflow-RDP-Brute-Force-Suricata-Sentinel)
🔓 Elastic SIEM 实验室 – 规模化检测真实 SSH 攻击 **内容:** 在 Azure 上部署了 Elasticsearch + Kibana。从暴露的 Ubuntu VM 收集 SSH 日志。真实的威胁行为者在几分钟内就命中了它。 **调查发现:** - 来自真实互联网流量的外部 SSH 暴力破解尝试 - 使用身份验证失败模式分析进行检测 - 通过 Kibana dashboard 进行时间线重建 - MITRE ATT&CK 映射和威胁关联 **工具:** Elastic Stack | Kibana | Filebeat | EQL queries **MITRE ATT&CK:** T1110 (Brute Force), T1078 (Valid Accounts) **Repo:** [Elastic-SIEM-Lab-Azure-Cloud-Deployment](https://github.com/rohithbaggu56-dot/Elastic-SIEM-Lab-Azure-Cloud-Deployment)
### 模拟攻击实验室(在我的控制下)
🔴 Sysmon 攻击调查 – 从 Meterpreter Payload 到凭证窃取 **内容:** 在 Windows 10 上模拟了完整的攻击链。投递 Meterpreter reverse shell,建立持久性,使用 Mimikatz 转储凭证。目标:仅使用 Sysmon 事件日志调查每个痕迹。 **攻击链:** 1. 通过钓鱼投递 Payload(来自 Discord CDN 的 FreeGamePasses.exe) 2. 开启 reverse shell → 攻击者获得交互式访问权限 3. 枚举命令(whoami、systeminfo) 4. 持久化 → 计划任务(backdoortask)+ 隐藏用户账户 5. 滥用 LOLBin → certutil.exe 从 GitHub 下载 Mimikatz 6. 凭证转储 → sekurlsa::logonpasswords **我的发现(仅限 Sysmon):** - Event ID 15(创建文件流)– Payload 来源和 Discord 下载 URL - Event ID 3(网络连接)– 到攻击者 IP 的 reverse shell 回调 - Event ID 1(进程创建)– 显示 cmd.exe → 创建后门的父子关系 - Event ID 22(DNS 查询)– certutil 访问 github.com(LOLBin 暴露) - Event ID 1(Masquerading)– Mimikatz 被重命名,但内部元数据仍然可读 **洞察:** 你无法隐藏你的本质。重命名文件只是更改了文件名,而不是 PE header。Sysmon 捕捉到了 Windows Event Viewer 遗漏的内容。 **工具:** Sysmon | Windows Event Viewer | Metasploit | Mimikatz | VirusTotal **MITRE ATT&CK:** T1204, T1571, T1189, T1136, T1053, T1218, T1202, T1036, T1003 **Repo:** [Sysmon-attack-investigation-lab](https://github.com/rohithbaggu56-dot/Sysmon-attack-investigation-lab)
🛡️ Suricata IDS + Sentinel 集成 – 规模化网络检测 **内容:** 在 Ubuntu 上部署 Suricata 以检测网络攻击。从 Kali Linux 发起端口扫描、SSH 暴力破解和 Web 应用程序攻击。所有警报均通过 syslog 发送至 Microsoft Sentinel。 **模拟并检测到的攻击:** - 端口扫描 → 29 个 Suricata 警报 - SSH 暴力破解 → 触发自定义检测规则 - Web 应用程序攻击(LFI、SQL 注入)→ 触发 ModSecurity WAF + Suricata 规则 - HTTP 侦察 → 被 Emerging Threats 规则集捕获 **我学到了什么:** - IDS 模式(监控、警报)与 IPS 模式(阻断)的对比 - SIEM 和 IDS 如何互补 - 根据数据包分析编写自定义 Suricata 规则 - 将原始警报映射到 MITRE ATT&CK 技术 **工具:** Suricata 7.x | Microsoft Sentinel | Azure Monitor Agent | Emerging Threats Ruleset | Kali Linux | KQL **MITRE ATT&CK:** T1595 (Active Scanning), T1110 (Brute Force), T1190 (Exploit Public-Facing Application) **Repo:** [Suricata-and-Sentinel-integration](https://github.com/rohithbaggu56-dot/Suriata-and-Sentinel-integraion)
🔍 KQL 检测查询 – 真实威胁狩猎 **内容:** 使用 Microsoft Sentinel 的 KQL 语言编写检测查询。涵盖身份验证威胁、端点可见性和网络连接。 **包含的查询:** - 暴力破解检测(关联 Event ID 4625) - 可疑进程执行(父子进程关系) - 横向移动模式(针对意外服务器的 RDP) - DNS C2 信标(对罕见域的高频查询) - 按账户和 IP 聚合的失败登录 **为什么这很重要:** 检测规则是 L1 分析师扩展注意力的方式。好的规则会自动捕获攻击;坏的规则会造成警报疲劳。 **工具:** Microsoft Sentinel | KQL | Log Analytics Workspace **Repo:** [Microsoft-Sentinel-KQL-Sysmon-Lab](https://github.com/rohithbaggu56-dot/Microsoft-Sentinel-KQL-Sysmon-Lab)
## 🧰 工具与技术 ### SIEM 平台 ![Splunk](https://img.shields.io/badge/Splunk-000000?style=flat-square&logo=splunk&logoColor=white) ![Elastic Stack](https://img.shields.io/badge/Elastic_Stack-005571?style=flat-square&logo=elastic&logoColor=white) ![Wazuh](https://img.shields.io/badge/Wazuh-3366CC?style=flat-square&logoColor=white) ![Microsoft Sentinel](https://img.shields.io/badge/Microsoft_Sentinel-0078D4?style=flat-square&logo=microsoft&logoColor=white) ### 云与检测 ![Microsoft Azure](https://img.shields.io/badge/Microsoft_Azure-0078D4?style=flat-square&logo=microsoftazure&logoColor=white) ![Azure Monitor](https://img.shields.io/badge/Azure_Monitor-0078D4?style=flat-square&logo=microsoftazure&logoColor=white) ![Log Analytics](https://img.shields.io/badge/Log_Analytics-0078D4?style=flat-square&logoColor=white) ![Azure NSG](https://img.shields.io/badge/Azure_NSG-0078D4?style=flat-square&logoColor=white) ### 网络与 IDS ![Wireshark](https://img.shields.io/badge/Wireshark-1679A7?style=flat-square&logo=wireshark&logoColor=white) ![Suricata](https://img.shields.io/badge/Suricata-EF3B2D?style=flat-square&logoColor=white) ![Nmap](https://img.shields.io/badge/Nmap-214478?style=flat-square&logoColor=white) ![pfSense](https://img.shields.io/badge/pfSense-212121?style=flat-square&logoColor=white) ![ModSecurity](https://img.shields.io/badge/ModSecurity-FF0000?style=flat-square&logoColorwhite) ### 端点与日志 ![Sysmon](https://img.shields.io/badge/Sysmon-0078D6?style=flat-square&logoColor=white) ![Windows Logs](https://img.shields.io/badge/Windows_Logs-0078D6?style=flat-square&logo=windows&logoColor=white) ![Linux Logs](https://img.shields.io/badge/Linux_Logs-FCC624?style=flat-square&logo=linux&logoColor=black) ### 威胁情报 ![VirusTotal](https://img.shields.io/badge/VirusTotal-394EFF?style=flat-square&logo=virustotal&logoColor=white) ![AbuseIPDB](https://img.shields.io/badge/AbuseIPDB-EF3B2D?style=flat-square&logoColor=white) ![urlscan.io](https://img.shields.io/badge/urlscan.io-1E90FF?style=flat-square&logoColor=white) ![MXToolbox](https://img.shields.io/badge/MXToolbox-F97316?style=flat-square&logoColor=white) ### 框架与方法论 ![MITRE ATT&CK](https://img.shields.io/badge/MITRE_ATT%26CK-FF3B30?style=flat-square&logoColor=white) ![Cyber Kill Chain](https://img.shields.io/badge/Cyber_Kill_Chain-111111?style=flat-square&logoColor=white) ![Pyramid of Pain](https://img.shields.io/badge/Pyramid_of_Pain-8B0000?style=flat-square&logoColor=white) ![NIST CSF](https://img.shields.io/badge/NIST_CSF-0F172A?style=flat-square&logoColor=white) ## 📜 认证 ![Google Cybersecurity](https://img.shields.io/badge/Google_Cybersecurity-4285F4?style=flat-square&logo=google&logoColor=white) ![Microsoft Security](https://img.shields.io/badge/Microsoft_Security-0078D4?style=flat-square&logo=microsoft&logoColor=white) ![TryHackMe SOC Level 1](https://img.shields.io/badge/TryHackMe_SOC_Level_1-212C42?style=flat-square&logo=tryhackme&logoColor=white) ![IBM Ethical Hacking](https://img.shields.io/badge/IBM_Ethical_Hacking-1261FE?style=flat-square&logo=ibm&logoColor=white) ### 📚 当前学习与实践实验室 **TryHackMe** ![TryHackMe](https://img.shields.io/badge/TryHackMe-SOC%20Level%201-2E2E2E?style=flat&logo=tryhackme) 完成了 SOC Level 1 路径——涵盖 Wireshark、Splunk、Elastic、EDR 工具和事件响应的实操模块。 目前正在探索专注于检测工程、日志分析和威胁狩猎的进阶房间。 **Let's Defend** ![LetsDefend](https://img.shields.io/badge/LetsDefend-Blue%20Team%20Labs-1E90FF?style=flat&logo=letsdefend) 参与蓝队模拟和理论学习,以加强对 SOC 工作流的理解和事件研判技能。 **Forage Virtual Internships** ![Forage](https://img.shields.io/badge/Forage-SOC%20Simulation%20Labs-00BFFF?style=flat&logo=forage) 完成了七次 SOC 分析师模拟实习(Commonwealth Bank 等)——专注于警报分析、研判和报告。 ### 📂 所有仓库 映射到 MITRE ATT&CK 和真实世界检测工作流的实操 SOC 实验室。
查看所有 16 个仓库(点击展开) **真实攻击数据:** - [Azure-Honeypot-SOC-Lab](https://github.com/rohithbaggu56-dot/Azure-Honeypot-SOC-Lab) – 3,400+ 次真实 RDP 登录,自定义检测规则 - [SOC-Incident-Investigation-Splunk](https://github.com/rohithbaggu56-dot/SOC-Incident-Investigation-Splunk) – 17,126 次失败登录,威胁验证 - [SOC-Workflow-RDP-Brute-Force-Suricata-Sentinel](https://github.com/rohithbaggu56-dot/SOC-Workflow-RDP-Brute-Force-Suricata-Sentinel) – 从告警到关闭的工作流 - [Elastic-SIEM-Lab-Azure-Cloud-Deployment](https://github.com/rohithbaggu56-dot/Elastic-SIEM-Lab-Azure-Cloud-Deployment) – 真实 SSH 攻击,Kibana dashboard **模拟攻击(受控实验室):** - [Sysmon-attack-investigation-lab](https://github.com/rohithbaggu56-dot/Sysmon-attack-investigation-lab) – 从 Payload 到凭证转储的完整攻击链 - [SOC-Home-Lab-BlueTeam](https://github.com/rohithbaggu56-dot/SOC-Home-Lab-BlueTeam) – 包含 Wazuh、Splunk、pfSense 的 3 虚拟机家庭实验室 - [Wazuh-SIEM-SOC-Hands-On-Lab](https://github.com/rohithbaggu56-dot/Wazuh-SIEM-SOC-Hands-On-Lab) – Windows + Linux Agent 部署,VirusTotal 集成 - [ModSecurity-WAF-DVWA-Lab](https://github.com/rohithbaggu56-dot/ModSecurity-WAF-DVWA-Lab) – Web 攻击检测,WAF 规则测试 **检测与分析:** - [Microsoft-Sentinel-KQL-Sysmon-Lab](https://github.com/rohithbaggu56-dot/Microsoft-Sentinel-KQL-Sysmon-Lab) – KQL 查询,Sysmon 集成,身份验证分析 - [Suricata-and-Sentinel-integration](https://github.com/rohithbaggu56-dot/Suriata-and-Sentinel-integraion) – IDS → SIEM pipeline,自定义规则 - [Incident-Investigation-Report](https://github.com/rohithbaggu56-dot/Incident-Investigation-Report) – 端到端事件记录模板 - [Log-Analysis-Detection-Notes](https://github.com/rohithbaggu56-dot/Log-Analysis-Detection-Notes) – Windows Event ID,Linux 日志,IOC 提取 - [Splunk-SIEM-Practice-Notes](https://github.com/rohithbaggu56-dot/Splunk-SIEM-Practice-Notes) – SPL 查询,dashboard,警报逻辑 **特定主题:** - [Phishing-Analysis](https://github.com/rohithbaggu56-dot/Phishing-Analysis) – 电子邮件头分析,域名欺骗检测 - [pfSense-firewall-lab](https://github.com/rohithbaggu56-dot/pfSense-firewall-lab) – 网络隔离,防火墙规则,流量控制 - [AIRIA-AI-Log-Triage-Lab](https://github.com/rohithbaggu56-dot/AIRIA-AI-Log-Triage-Lab) – AI 辅助的 SOC 研判实验
### 💡 我的仓库的核心价值 **我不只是运行实验室——我像分析师一样进行调查** - 每个仓库都在回答一个问题:“发生了什么?” - 使用日志、威胁情报和多个来源验证调查结果。 - 记录每一个决策——升级、关闭以及经验教训。 **映射到真实世界的框架** - 将 MITRE ATT&CK 技术整合到每次调查中。 - 事件响应工作流:**检测 → 研判 → 调查 → 补救。** - 警报验证的重点是区分真实信号与噪音。 **从错误中学习** - 实验室是真实的——虚拟机会卡死,配置会出错,规则需要微调。 - 每个 repo 都记录了出了什么问题以及是如何修复的。 - 持续改进是真正的 SOC 分析师成长的方式。 ## 📬 联系方式 **积极探索 SOC Analyst L1 / Security Analyst 的机会** 专注于能够应用我动手实践检测、调查和威胁狩猎技能的入门级职位。 [![LinkedIn](https://img.shields.io/badge/LinkedIn-0077B5?style=flat-square&logo=linkedin&logoColor=white)](https://www.linkedin.com/in/rohithbaggu/) [![TryHackMe](https://img.shields.io/badge/TryHackMe-212C42?style=flat-square&logo=tryhackme&logoColor=white)](https://tryhackme.com/p/rohithbaggu56)
标签:Metaprompt, MIT许可证, 安全运营中心(SOC), 活动目录(AD), 红队行动, 网络安全, 蜜罐, 证书利用, 越狱测试, 隐私保护