pruthviraj-ig/soc-lab-30-days

# SOC 分析师 30 天实验室挑战 专注于警报分类、日志调查、SIEM 运营、事件响应工作流程和威胁搜寻基础的实战安全运营中心 (SOC) 学习之旅。 本仓库通过实验室、调查报告、结构化笔记和捕获的调查证据，记录了每日的 SOC 分析师培训。 ## 目标 培养现实世界中的 SOC 分析师 Level 1 技能，包括： - 警报调查 - SIEM 日志分析 - 威胁检测工作流程 - 事件升级程序 - 安全监控仪表板 - 查询构建和威胁搜寻 所有工作均通过动手网络安全实验室和模拟 SOC 环境完成。 ## 练习的 SOC 技能 - 警报分类工作流程 - 日志调查方法论 - SIEM 调查程序 - 威胁搜寻基础 - KQL 查询构建 - SPL (Splunk Processing Language) - 仪表板监控 - 可视化分析 - 升级决策制定 - 分析师文档和报告 ## 工具与技术 - Splunk SIEM - Elastic Stack (ELK) - Kibana Discover - KQL 查询语言 - TryHackMe SOC Labs - AttackBox Investigation Environment ## 仓库结构 ``` soc-lab-30-days/ │ ├── lab-reports/ │ └── Detailed SOC investigation reports │ ├── notes/ │ └── Daily SOC learning and investigation notes │ ├── screenshots/ │ └── Evidence collected during investigations │ └── README.md ``` ## 已完成的实验室 ### SOC 基础 - SOC Lifecycle Investigation - Human Attack Vectors - SOC Roles and Responsibilities - Alert Reporting and Escalation ### SOC Analyst Level 1 运维 - Alert Triage Investigation - Workbook and Lookup Analysis - SOC Metrics and Objectives - Endpoint Detection and Response (EDR) ### SIEM 调查 #### Splunk SIEM - 日志搜索和过滤 - 警报工作流程调查 - SPL 查询构建 - 事件调查报告 #### Elastic Stack (ELK) - Discover 标签页日志调查 - VPN 流量异常分析 - KQL 查询过滤 - 可视化创建 - 仪表板监控 调查发现示例： - 识别出 VPN 活动峰值 - 分析了高流量用户 - 追踪了可疑 IP 行为 - 执行了时间线异常检测 ## 证据收集 每个实验室都包含展示以下内容的截图： - 警报仪表板 - 日志搜索 - 查询执行 - 调查工作流程 - 可视化和仪表板 证据位于： ``` screenshots/ ``` ## 学习方法 每个实验室遵循 SOC 分析师工作流程： 1. 警报审查 2. 日志收集 3. 调查范围定义 4. 查询过滤 5. 行为分析 6. 证据记录 7. 升级决策 ## 主要学习成果 通过本次挑战： - 学习了 SIEM 导航和调查工作流程 - 实践了真实的 SOC 分析师思维过程 - 调查了可疑的 VPN 流量模式 - 构建了用于监控活动趋势的仪表板 - 养成了结构化报告的习惯 ## 认证 - CompTIA Security+ (Certified) ## 目标 通过展示以下内容为 SOC Analyst Level 1 角色做准备： - 动手调查经验 - 结构化报告能力 - SIEM 运营知识 - 威胁检测思维 ## 作者 Pruthviraj 网络安全爱好者 | SOC 分析师学习者 记录实战 SOC 调查和威胁分析工作流程的 GitHub 作品集。

标签：30天挑战, AMSI绕过, EDR, Elastic Stack, ELK Stack, KQL, SOC分析师, SPL, TryHackMe, 仪表盘, 分析报告, 初学者教程, 威胁搜寻, 威胁检测, 安全升级, 安全培训, 安全实验室, 安全工程, 安全报告, 安全运营中心, 实战演练, 库, 应急响应, 数字取证, 流量重放, 漏洞调查, 端点检测与响应, 网络安全, 网络映射, 脆弱性评估, 脱壳工具, 自动化脚本, 警报分类, 越狱测试, 速率限制, 隐私保护