AtlasVector/YB
GitHub: AtlasVector/YB
一位蓝队安全运营工程师的知识库,汇集了事件响应、威胁狩猎和检测工程方面的实战笔记、实验环境搭建指南和 CTF 复盘。
Stars: 0 | Forks: 0
# Youssef Benchater
## 关于我
以运营为核心的安全专业人士,在事件响应、威胁狩猎和安全运营方面拥有丰富的实践经验。背景包括团队领导、实时事件处理,以及在 SIEM 平台、日志分析和检测工程方面的实际操作。
- 在实验室和 CTF 环境中构建和调优检测规则
- 开发用于身份验证滥用和威胁狩猎的 KQL 查询和 Sentinel 工作簿
- 参与 CTF 竞赛以提升调查和响应技能
- 自动化安全工作流并构建威胁情报工具
## 当前重点
本仓库汇集了围绕安全运营、事件响应和检测工程的个人笔记、实验室练习和实际实验。目标是保持对真实环境中事件实际发生过程的敏锐度。
## 认证
| 认证 | 详情 |
| --- | --- |
| 
| **Google Cybersecurity Professional Certificate**
颁发日期:2025 年 6 月 8 日
涵盖 IT 环境中安全运营、风险管理、事件处理和安全基础知识的入门课程。 | | 
| **CompTIA Security+**
颁发日期:2025 年 9 月 26 日
核心安全概念,包括威胁、漏洞、网络安全、身份基础知识和事件响应。 | | 
| **CompTIA Cybersecurity Analyst (CySA+)**
颁发日期:2025 年 8 月 11 日
侧重于蓝队的认证,涵盖威胁检测、日志分析、安全监控和事件响应工作流。 | | 
| **Microsoft SC-200 (Security Operations Analyst)**
目前正在进行中
重点关注 Microsoft Sentinel、Defender 和安全运营工作流。 | ## 项目 | 项目 | 描述 | | -------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | [SOC 实验室环境](https://github.com/AtlasVector/SOC-Lab-Environment) | 拥有 Active Directory 域、Windows 工作站、Suricata IDS 和 ELK Stack 的家庭实验室,用于动手实践安全运营。 | | [Microsoft Defender & Sentinel 实验室](https://github.com/AtlasVector/Microsoft-Defender) | 用于狩猎身份验证滥用、暴力破解模式和可疑登录活动的 Sentinel 工作簿和 KQL 查询。包含来自 CTF 参与的完整事件报告。 | | [AtlaSoc 工具箱](https://github.com/AtlasVector/AtlaSoc-ToolBox) | 基于 Web 的威胁情报工具包,将 VirusTotal、AbuseIPDB、Shodan、AlienVault OTX、URLScan.io、WHOIS/RDAP、MalwareBazaar 和 NVD CVE 查询整合到单一界面中。使用 React/Preact 前端和 Cloudflare Pages 后端构建。 | ## CTF 参与情况 积极参与: - **CTF 挑战** - 完成过的调查包括源代码窃取、暴力破解分析和多阶段恶意软件部署场景 - **威胁狩猎竞赛** - 针对真实世界攻击场景、C2 检测和事件响应工作流的动手实践 ## 工具与技术 #### 虚拟化与实验室基础设施
#### SIEM 与日志管理
#### 网络安全与流量分析
#### 终端安全
#### 编程与脚本
#### 进攻性安全(实验室使用)
## 检测与狩猎技能
- **KQL (Kusto Query Language)** - 使用 summarize、countif、join 和多表关联编写可操作的检测查询
- **威胁狩猎** - 跨 Windows 事件、Entra ID 日志和终端遥测数据主动进行狩猎
- **事件响应** - 结构化的 5W-1H 调查、IOC 提取和修复计划
- **MITRE ATT&CK 映射** - 针对调查和检测逻辑的技术与战术对齐
- **SIEM 管理** - 管理 Splunk、ELK Stack 和 Microsoft Sentinel 环境
- **日志分析** - Windows 安全事件、Sysmon、PowerShell 日志和网络遥测数据
颁发日期:2025 年 6 月 8 日
涵盖 IT 环境中安全运营、风险管理、事件处理和安全基础知识的入门课程。 | |
颁发日期:2025 年 9 月 26 日
核心安全概念,包括威胁、漏洞、网络安全、身份基础知识和事件响应。 | |
颁发日期:2025 年 8 月 11 日
侧重于蓝队的认证,涵盖威胁检测、日志分析、安全监控和事件响应工作流。 | |
目前正在进行中
重点关注 Microsoft Sentinel、Defender 和安全运营工作流。 | ## 项目 | 项目 | 描述 | | -------------------------------------------------------------------------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | [SOC 实验室环境](https://github.com/AtlasVector/SOC-Lab-Environment) | 拥有 Active Directory 域、Windows 工作站、Suricata IDS 和 ELK Stack 的家庭实验室,用于动手实践安全运营。 | | [Microsoft Defender & Sentinel 实验室](https://github.com/AtlasVector/Microsoft-Defender) | 用于狩猎身份验证滥用、暴力破解模式和可疑登录活动的 Sentinel 工作簿和 KQL 查询。包含来自 CTF 参与的完整事件报告。 | | [AtlaSoc 工具箱](https://github.com/AtlasVector/AtlaSoc-ToolBox) | 基于 Web 的威胁情报工具包,将 VirusTotal、AbuseIPDB、Shodan、AlienVault OTX、URLScan.io、WHOIS/RDAP、MalwareBazaar 和 NVD CVE 查询整合到单一界面中。使用 React/Preact 前端和 Cloudflare Pages 后端构建。 | ## CTF 参与情况 积极参与: - **CTF 挑战** - 完成过的调查包括源代码窃取、暴力破解分析和多阶段恶意软件部署场景 - **威胁狩猎竞赛** - 针对真实世界攻击场景、C2 检测和事件响应工作流的动手实践 ## 工具与技术 #### 虚拟化与实验室基础设施
标签:BurpSuite集成, CompTIA Security+, Detection Engineering, IR, KQL, Metaprompt, Python 实现, SecOps, Sentinel, Threat Hunting, 云安全架构, 决策, 威胁情报, 子域名变形, 学习资源, 安全笔记, 安全运营, 开发者工具, 扫描框架, 渗透测试框架, 网络安全, 网络安全实验室, 请求拦截, 逆向工具, 防御, 隐私保护