nutthakorn7/SOC-SOP
GitHub: nutthakorn7/SOC-SOP
一套厂商中立的 SOC 标准操作程序文档库,含 170+ 双语 SOP、50 个应急剧本、36 条 Sigma 规则及培训模板,帮助团队从零构建并规范化运营安全中心。
Stars: 0 | Forks: 0
SOC 标准操作程序
厂商中立的 SOC SOP — 英/泰双语 — 从零构建 SOC
ระเบียบปฏิบัติมาตรฐานสำหรับ SOC — ภาษาอังกฤษ/ไทย — สร้าง SOC ตั้งแต่ศูนย์
## 📍 从这里开始 / เริ่มต้นที่นี่
| | 文档 | English | ภาษาไทย |
|:---:|:---|:---:|:---:|
| 1️⃣ | **SOC 101** — 什么是 SOC? | [阅读](00_Getting_Started/SOC_101.en.md) | [อ่าน](00_Getting_Started/SOC_101.th.md) |
| 2️⃣ | **快速入门指南** — 30 分钟内构建 SOC | [阅读](00_Getting_Started/Quickstart_Guide.en.md) | [อ่าน](00_Getting_Started/Quickstart_Guide.th.md) |
| 📖 | **术语表** — 必备词汇 | [阅读](00_Getting_Started/Glossary.en.md) | [อ่าน](00_Getting_Started/Glossary.th.md) |
## 📊 项目内容 / สิ่งที่มีในโปรเจกต์นี้
| 类别 | 数量 | 亮点 |
|:---|:---:|:---|
| 📄 文档 (EN+TH) | 279 | 双语、厂商中立的 SOP |
| 🛡️ 应急响应剧本 | 50 | PB-01 钓鱼 → PB-50 未授权扫描,映射至 MITRE |
| 🔍 Sigma 检测规则 | 36 | 可直接导入 SIEM 的规则 |
| 🧬 YARA 规则 | 16 | 基于文件的威胁检测 |
| 📋 模板 | 6 | 事件报告、值班日志、RFC、仪表板 |
| 🧰 交互式工具 | 2 | SOC 成熟度评分器 + MITRE 热力图 |
| 📊 仪表板 JSON | 2 | Grafana (14 面板) + Kibana (11 面板) |
## 🏗️ 从零构建 SOC / สร้าง SOC ตั้งแต่ศูนย์
如果您正在构建一个全新的 SOC,请从这里开始。按照编号顺序进行。
| # | 文档 | English | ภาษาไทย |
|:---:|:---|:---:|:---:|
| 1 | **SOC 构建路线图** 🗺️ | [阅读](01_SOC_Fundamentals/SOC_Building_Roadmap.en.md) | [อ่าน](01_SOC_Fundamentals/SOC_Building_Roadmap.th.md) |
| 2 | **预算与人员配置** 💰 | [阅读](01_SOC_Fundamentals/Budget_Staffing.en.md) | [อ่าน](01_SOC_Fundamentals/Budget_Staffing.th.md) |
| 3 | **技术栈选型** 🔧 | [阅读](01_SOC_Fundamentals/Technology_Stack.en.md) | [อ่าน](01_SOC_Fundamentals/Technology_Stack.th.md) |
| 4 | **基础设施搭建** 🖥️ | [阅读](01_SOC_Fundamentals/Infrastructure_Setup.en.md) | [อ่าน](01_SOC_Fundamentals/Infrastructure_Setup.th.md) |
| 5 | **用例优先级排序** 🎯 | [阅读](01_SOC_Fundamentals/Use_Case_Prioritization.en.md) | [อ่าน](01_SOC_Fundamentals/Use_Case_Prioritization.th.md) |
| 6 | **分析师培训路径** (6 个月) 🎓 | [阅读](01_SOC_Fundamentals/Analyst_Training_Path.en.md) | [อ่าน](01_SOC_Fundamentals/Analyst_Training_Path.th.md) |
| 7 | **SOC 基础设施激活** ⚡ | [阅读](10_Training_Onboarding/System_Activation.en.md) | [อ่าน](10_Training_Onboarding/System_Activation.th.md) |
## 🛡️ 应急响应 / การตอบสนองต่อเหตุการณ์
### 核心框架 / กรอบงานหลัก
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **应急响应框架** (基于 NIST) | [阅读](05_Incident_Response/Framework.en.md) | [อ่าน](05_Incident_Response/Framework.th.md) |
| **严重性矩阵** (P1–P4) | [阅读](05_Incident_Response/Severity_Matrix.en.md) | [อ่าน](05_Incident_Response/Severity_Matrix.th.md) |
| **📋 事件分类** | [阅读](05_Incident_Response/Incident_Classification.en.md) | [อ่าน](05_Incident_Response/Incident_Classification.th.md) |
| **🚨 升级矩阵** | [阅读](05_Incident_Response/Escalation_Matrix.en.md) | [อ่าน](05_Incident_Response/Escalation_Matrix.th.md) |
| **Tier 1 操作手册** — 警报分流 | [阅读](05_Incident_Response/Runbooks/Tier1_Runbook.en.md) | [อ่าน](05_Incident_Response/Runbooks/Tier1_Runbook.th.md) |
| **Tier 2 操作手册** — 调查分析 | [阅读](05_Incident_Response/Runbooks/Tier2_Runbook.en.md) | [อ่าน](05_Incident_Response/Runbooks/Tier2_Runbook.th.md) |
| **Tier 3 操作手册** — 威胁狩猎 | [阅读](05_Incident_Response/Runbooks/Tier3_Runbook.en.md) | [อ่าน](05_Incident_Response/Runbooks/Tier3_Runbook.th.md) |
| **沟通模板** (6) | [阅读](05_Incident_Response/Communication_Templates.en.md) | [อ่าน](05_Incident_Response/Communication_Templates.th.md) |
### 调查与取证 / การสืบสวนและหลักฐาน
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **🔬 取证调查** | [阅读](05_Incident_Response/Forensic_Investigation.en.md) | [อ่าน](05_Incident_Response/Forensic_Investigation.th.md) |
| **证据收集** | [阅读](05_Incident_Response/Evidence_Collection.en.md) | [อ่าน](05_Incident_Response/Evidence_Collection.th.md) |
| **🎯 威胁狩猎剧本** | [阅读](05_Incident_Response/Threat_Hunting_Playbook.en.md) | [อ่าน](05_Incident_Response/Threat_Hunting_Playbook.th.md) |
| **访谈指南** (T1/T2/负责人) | [阅读](05_Incident_Response/Interview_Guide.en.md) | [อ่าน](05_Incident_Response/Interview_Guide.th.md) |
### 恢复与自动化 / การกู้คืนและอัตโนมัติ
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **🏥 灾难恢复 / 业务连续性计划 (BCP)** | [阅读](05_Incident_Response/Disaster_Recovery_BCP.en.md) | [อ่าน](05_Incident_Response/Disaster_Recovery_BCP.th.md) |
| **SOAR 剧本模板** (6) | [阅读](05_Incident_Response/SOAR_Playbooks.en.md) | [อ่าน](05_Incident_Response/SOAR_Playbooks.th.md) |
| **经验教训模板** | [阅读](05_Incident_Response/Lessons_Learned_Template.en.md) | [อ่าน](05_Incident_Response/Lessons_Learned_Template.th.md) |
| **📘 剧本开发指南** | [阅读](05_Incident_Response/Playbook_Development_Guide.en.md) | [อ่าน](05_Incident_Response/Playbook_Development_Guide.th.md) |
### 50 个剧本 — 按类别分组
所有剧本均为双语 (EN+TH) 并映射至 MITRE ATT&CK。
📧 邮件与社会工程学 — 钓鱼、BEC、账户接管、深度伪造
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 01 | 钓鱼 | [📄](05_Incident_Response/Playbooks/Phishing.en.md) | [📄](05_Incident_Response/Playbooks/Phishing.th.md) |
| 17 | 商业邮件诈骗 (BEC) | [📄](05_Incident_Response/Playbooks/BEC.en.md) | [📄](05_Incident_Response/Playbooks/BEC.th.md) |
| 42 | 邮件账户接管 | [📄](05_Incident_Response/Playbooks/Email_Account_Takeover.en.md) | [📄](05_Incident_Response/Playbooks/Email_Account_Takeover.th.md) |
| 48 | 深度伪造社会工程学 | [📄](05_Incident_Response/Playbooks/Deepfake_Social_Engineering.en.md) | [📄](05_Incident_Response/Playbooks/Deepfake_Social_Engineering.th.md) |
🦠 恶意软件与勒索软件 — 勒索软件、脚本、擦除器、LOLBins、Rootkit
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 02 | 勒索软件 | [📄](05_Incident_Response/Playbooks/Ransomware.en.md) | [📄](05_Incident_Response/Playbooks/Ransomware.th.md) |
| 03 | 恶意软件感染 | [📄](05_Incident_Response/Playbooks/Malware_Infection.en.md) | [📄](05_Incident_Response/Playbooks/Malware_Infection.th.md) |
| 10 | 漏洞利用 | [📄](05_Incident_Response/Playbooks/Exploit.en.md) | [📄](05_Incident_Response/Playbooks/Exploit.th.md) |
| 11 | 可疑脚本 | [📄](05_Incident_Response/Playbooks/Suspicious_Script.en.md) | [📄](05_Incident_Response/Playbooks/Suspicious_Script.th.md) |
| 38 | 擦除器攻击 | [📄](05_Incident_Response/Playbooks/Wiper_Attack.en.md) | [📄](05_Incident_Response/Playbooks/Wiper_Attack.th.md) |
| 39 | Living Off The Land | [📄](05_Incident_Response/Playbooks/Living_Off_The_Land.en.md) | [📄](05_Incident_Response/Playbooks/Living_Off_The_Land.th.md) |
| 45 | Rootkit / Bootkit | [📄](05_Incident_Response/Playbooks/Rootkit_Bootkit.en.md) | [📄](05_Incident_Response/Playbooks/Rootkit_Bootkit.th.md) |
🔑 身份与访问 — 暴力破解、凭证窃取、权限提升、MFA 绕过
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 04 | 暴力破解 | [📄](05_Incident_Response/Playbooks/Brute_Force.en.md) | [📄](05_Incident_Response/Playbooks/Brute_Force.th.md) |
| 05 | 账户失陷 | [📄](05_Incident_Response/Playbooks/Account_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/Account_Compromise.th.md) |
| 06 | 不可能移动 | [📄](05_Incident_Response/Playbooks/Impossible_Travel.en.md) | [📄](05_Incident_Response/Playbooks/Impossible_Travel.th.md) |
| 07 | 权限提升 | [📄](05_Incident_Response/Playbooks/Privilege_Escalation.en.md) | [📄](05_Incident_Response/Playbooks/Privilege_Escalation.th.md) |
| 14 | 内部威胁 | [📄](05_Incident_Response/Playbooks/Insider_Threat.en.md) | [📄](05_Incident_Response/Playbooks/Insider_Threat.th.md) |
| 15 | 恶意管理员 | [📄](05_Incident_Response/Playbooks/Rogue_Admin.en.md) | [📄](05_Incident_Response/Playbooks/Rogue_Admin.th.md) |
| 26 | MFA 绕过 / Token 窃取 | [📄](05_Incident_Response/Playbooks/MFA_Bypass.en.md) | [📄](05_Incident_Response/Playbooks/MFA_Bypass.th.md) |
| 36 | 凭证转储 | [📄](05_Incident_Response/Playbooks/Credential_Dumping.en.md) | [📄](05_Incident_Response/Playbooks/Credential_Dumping.th.md) |
🌐 网络与 Web — DDoS、横向移动、C2、DNS 隧道、Web 攻击
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 09 | DDoS 攻击 | [📄](05_Incident_Response/Playbooks/DDoS_Attack.en.md) | [📄](05_Incident_Response/Playbooks/DDoS_Attack.th.md) |
| 12 | 横向移动 | [📄](05_Incident_Response/Playbooks/Lateral_Movement.en.md) | [📄](05_Incident_Response/Playbooks/Lateral_Movement.th.md) |
| 13 | C2 通信 | [📄](05_Incident_Response/Playbooks/C2_Communication.en.md) | [📄](05_Incident_Response/Playbooks/C2_Communication.th.md) |
| 18 | Web 攻击 | [📄](05_Incident_Response/Playbooks/Web_Attack.en.md) | [📄](05_Incident_Response/Playbooks/Web_Attack.th.md) |
| 22 | API 滥用 | [📄](05_Incident_Response/Playbooks/API_Abuse.en.md) | [📄](05_Incident_Response/Playbooks/API_Abuse.th.md) |
| 24 | DNS 隧道 | [📄](05_Incident_Response/Playbooks/DNS_Tunneling.en.md) | [📄](05_Incident_Response/Playbooks/DNS_Tunneling.th.md) |
| 25 | 零日漏洞利用 | [📄](05_Incident_Response/Playbooks/Zero_Day_Exploit.en.md) | [📄](05_Incident_Response/Playbooks/Zero_Day_Exploit.th.md) |
| 34 | 网络发现 | [📄](05_Incident_Response/Playbooks/Network_Discovery.en.md) | [📄](05_Incident_Response/Playbooks/Network_Discovery.th.md) |
| 37 | SQL 注入 | [📄](05_Incident_Response/Playbooks/SQL_Injection.en.md) | [📄](05_Incident_Response/Playbooks/SQL_Injection.th.md) |
| 43 | 水坑攻击 | [📄](05_Incident_Response/Playbooks/Watering_Hole.en.md) | [📄](05_Incident_Response/Playbooks/Watering_Hole.th.md) |
| 44 | 路过式下载 | [📄](05_Incident_Response/Playbooks/Drive_By_Download.en.md) | [📄](05_Incident_Response/Playbooks/Drive_By_Download.th.md) |
| 50 | 未授权扫描 | [📄](05_Incident_Response/Playbooks/Unauthorized_Scanning.en.md) | [📄](05_Incident_Response/Playbooks/Unauthorized_Scanning.th.md) |
☁️ 云与基础设施 — AWS、Azure、云 IAM、加密劫持、影子 IT
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 16 | 云 IAM 异常 | [📄](05_Incident_Response/Playbooks/Cloud_IAM.en.md) | [📄](05_Incident_Response/Playbooks/Cloud_IAM.th.md) |
| 23 | 挖矿攻击 | [📄](05_Incident_Response/Playbooks/Cryptomining.en.md) | [📄](05_Incident_Response/Playbooks/Cryptomining.th.md) |
| 27 | 云存储泄露 | [📄](05_Incident_Response/Playbooks/Cloud_Storage_Exposure.en.md) | [📄](05_Incident_Response/Playbooks/Cloud_Storage_Exposure.th.md) |
| 29 | 影子 IT | [📄](05_Incident_Response/Playbooks/Shadow_IT.en.md) | [📄](05_Incident_Response/Playbooks/Shadow_IT.th.md)| 31 | AWS EC2 失陷 | [📄](05_Incident_Response/Playbooks/AWS_EC2_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/AWS_EC2_Compromise.th.md) |
| 32 | AWS S3 失陷 | [📄](05_Incident_Response/Playbooks/AWS_S3_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/AWS_S3_Compromise.th.md) |
| 33 | Azure AD 失陷 | [📄](05_Incident_Response/Playbooks/Azure_AD_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/Azure_AD_Compromise.th.md) |
| 41 | VPN 滥用 | [📄](05_Incident_Response/Playbooks/VPN_Abuse.en.md) | [📄](05_Incident_Response/Playbooks/VPN_Abuse.th.md) |
| 47 | 云加密劫持 | [📄](05_Incident_Response/Playbooks/Cloud_Cryptojacking.en.md) | [📄](05_Incident_Response/Playbooks/Cloud_Cryptojacking.th.md) |
📦 数据与供应链 — 数据渗出、日志清除、供应链、数据暂存
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 08 | 数据渗出 | [📄](05_Incident_Response/Playbooks/Data_Exfiltration.en.md) | [📄](05_Incident_Response/Playbooks/Data_Exfiltration.th.md) |
| 20 | 日志清除 | [📄](05_Incident_Response/Playbooks/Log_Clearing.en.md) | [📄](05_Incident_Response/Playbooks/Log_Clearing.th.md) |
| 21 | 供应链攻击 | [📄](05_Incident_Response/Playbooks/Supply_Chain_Attack.en.md) | [📄](05_Incident_Response/Playbooks/Supply_Chain_Attack.th.md) |
| 35 | 数据收集 | [📄](05_Incident_Response/Playbooks/Data_Collection.en.md) | [📄](05_Incident_Response/Playbooks/Data_Collection.th.md) |
| 49 | 域名仿冒 | [📄](05_Incident_Response/Playbooks/Typosquatting.en.md) | [📄](05_Incident_Response/Playbooks/Typosquatting.th.md) |
📱 物理与移动 — 设备丢失、移动设备、OT/ICS、USB、SIM 卡调换
| # | 剧本 | EN | TH |
|:---:|:---|:---:|:---:|
| 19 | 设备丢失/被盗 | [📄](05_Incident_Response/Playbooks/Lost_Device.en.md) | [📄](05_Incident_Response/Playbooks/Lost_Device.th.md) |
| 28 | 移动设备失陷 | [📄](05_Incident_Response/Playbooks/Mobile_Compromise.en.md) | [📄](05_Incident_Response/Playbooks/Mobile_Compromise.th.md) |
| 30 | OT/ICS 事件 | [📄](05_Incident_Response/Playbooks/OT_ICS_Incident.en.md) | [📄](05_Incident_Response/Playbooks/OT_ICS_Incident.th.md) |
| 40 | USB 可移动介质 | [📄](05_Incident_Response/Playbooks/USB_Removable_Media.en.md) | [📄](05_Incident_Response/Playbooks/USB_Removable_Media.th.md) |
| 46 | SIM 卡调换 | [📄](05_Incident_Response/Playbooks/SIM_Swap.en.md) | [📄](05_Incident_Response/Playbooks/SIM_Swap.th.md) |
### 🎯 MITRE ATT&CK 覆盖范围 / ความครอบคลุม MITRE ATT&CK
我们的 50 个剧本覆盖了 **14 个 MITRE ATT&CK 战术中的 12 个**,映射至完整的杀伤链:
| 战术 | ID | 剧本 | 覆盖度 |
|:---|:---:|:---:|:---:|
| **侦察** | TA0043 | PB-50 | 🟡 |
| **资源开发** | TA0042 | PB-49 | 🟡 |
| **初始访问** | TA0001 | PB-01, 10, 17, 42, 43, 44 | 🟢🟢🟢 |
| **执行** | TA0002 | PB-02, 03, 11, 39 | 🟢🟢 |
| **持久化** | TA0003 | PB-45, 42 | 🟢 |
| **权限提升** | TA0004 | PB-07, 36 | 🟢 |
| **防御绕过** | TA0005 | PB-15, 20, 39, 45 | 🟢🟢 |
| **凭证访问** | TA0006 | PB-04, 05, 26, 36 | 🟢🟢 |
| **发现** | TA0007 | PB-06, 34 | 🟢 |
| **横向移动** | TA0008 | PB-12 | 🟡 |
| **收集** | TA0009 | PB-35 | 🟡 |
| **命令与控制** | TA0011 | PB-13, 24 | 🟢 |
| **渗出** | TA0010 | PB-08 | 🟡 |
| **影响** | TA0040 | PB-02, 09, 23, 38, 47 | 🟢🟢 |
## 🔍 检测与威胁情报 / การตรวจจับและข่าวกรองภัยคุกคาม
### Sigma 检测规则 (36 条)
映射至 MITRE ATT&CK 的可导入规则。查看完整索引:[README](08_Detection_Engineering/README.md) | [索引 (TH)](08_Detection_Engineering/README.th.md)
| 类别 | 规则示例 | 数量 |
|:---|:---|:---:|
| **Windows** | 登录失败、管理员组添加、日志清除、PowerShell | 8 |
| **Cloud** | 不可能移动、Root 登录、MFA 绕过、挖矿 | 10 |
| **Network** | DNS 隧道、信标、大文件上传、OT 异常 | 5 |
| **Web/API** | SQLi、WAF 利用、API 滥用、零日、速率限制 | 5 |
| **File/Proc** | 勒索软件重命名、USB 批量复制、加密指标 | 5 |
### YARA 规则 (8 条)
基于文件的威胁检测:[YARA 索引](08_Detection_Engineering/yara/README.md) | [文件签名](08_Detection_Engineering/file_signatures/README.md)
### 威胁情报
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **威胁情报生命周期** | [阅读](06_Operations_Management/Threat_Intelligence_Lifecycle.en.md) | [อ่าน](06_Operations_Management/Threat_Intelligence_Lifecycle.th.md) |
| **TI 源集成** | [阅读](06_Operations_Management/TI_Feeds_Integration.en.md) | [อ่าน](06_Operations_Management/TI_Feeds_Integration.th.md) |
| **检测规则测试 SOP** | [阅读](06_Operations_Management/Detection_Rule_Testing.en.md) | [อ่าน](06_Operations_Management/Detection_Rule_Testing.th.md) |
| **检测工程生命周期** | [阅读](03_User_Guides/Content_Management.en.md) | [อ่าน](03_User_Guides/Content_Management.th.md) |
## 📊 运营 / การปฏิบัติงาน
### 👥 团队与日常运营 / ทีมและงานประจำวัน
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **SOC 团队结构** | [阅读](06_Operations_Management/SOC_Team_Structure.en.md) | [อ่าน](06_Operations_Management/SOC_Team_Structure.th.md) |
| **轮岗交接 SOP** | [阅读](06_Operations_Management/Shift_Handoff.en.md) | [อ่าน](06_Operations_Management/Shift_Handoff.th.md) |
| **SOC 检查清单** (每日/每周/每月) | [阅读](06_Operations_Management/SOC_Checklists.en.md) | [อ่าน](06_Operations_Management/SOC_Checklists.th.md) |
| **SOC 指标与 KPI** | [阅读](06_Operations_Management/SOC_Metrics.en.md) | [อ่าน](06_Operations_Management/SOC_Metrics.th.md) |
| **📈 KPI 仪表板模板** | [阅读](06_Operations_Management/KPI_Dashboard_Template.en.md) | [อ่าน](06_Operations_Management/KPI_Dashboard_Template.th.md) |
| **📊 日志源矩阵** | [阅读](06_Operations_Management/Log_Source_Matrix.en.md) | [อ่าน](06_Operations_Management/Log_Source_Matrix.th.md) |
| **日志源上线** | [阅读](06_Operations_Management/Log_Source_Onboarding.en.md) | [อ่าน](06_Operations_Management/Log_Source_Onboarding.th.md) |
| **🤖 SOC 自动化目录** | [阅读](06_Operations_Management/SOC_Automation_Catalog.en.md) | [อ่าน](06_Operations_Management/SOC_Automation_Catalog.th.md) |
| **🔧 警报调优 SOP** | [阅读](06_Operations_Management/Alert_Tuning.en.md) | [อ่าน](06_Operations_Management/Alert_Tuning.th.md) |
| **📊 SOC 容量规划** | [阅读](06_Operations_Management/SOC_Capacity_Planning.en.md) | [อ่าน](06_Operations_Management/SOC_Capacity_Planning.th.md) |
### 🔍 安全监控 / การเฝ้าระวัง
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **🌐 网络安全监控** | [阅读](06_Operations_Management/Network_Security_Monitoring.en.md) | [อ่าน](06_Operations_Management/Network_Security_Monitoring.th.md) |
| **☁️ 云安全监控** | [阅读](06_Operations_Management/Cloud_Security_Monitoring.en.md) | [อ่าน](06_Operations_Management/Cloud_Security_Monitoring.th.md) |
| **🔒 数据防泄漏 (DLP)** | [阅读](06_Operations_Management/DLP_SOP.en.md) | [อ่าน](06_Operations_Management/DLP_SOP.th.md) |
| **🕵️ 内部威胁项目** | [阅读](06_Operations_Management/Insider_Threat_Program.en.md) | [อ่าน](06_Operations_Management/Insider_Threat_Program.th.md) |
### 📡 威胁情报与狩猎 / ข่าวกรองภัยคุกคาม
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **威胁情报生命周期** | [阅读](06_Operations_Management/Threat_Intelligence_Lifecycle.en.md) | [อ่าน](06_Operations_Management/Threat_Intelligence_Lifecycle.th.md) |
| **TI 源集成** | [阅读](06_Operations_Management/TI_Feeds_Integration.en.md) | [อ่าน](06_Operations_Management/TI_Feeds_Integration.th.md) |
| **🌍 威胁态势报告** | [阅读](06_Operations_Management/Threat_Landscape_Report.en.md) | [อ่าน](06_Operations_Management/Threat_Landscape_Report.th.md) |
| **检测规则测试 SOP** | [阅读](06_Operations_Management/Detection_Rule_Testing.en.md) | [อ่าน](06_Operations_Management/Detection_Rule_Testing.th.md) |
| **检测工程生命周期** | [阅读](03_User_Guides/Content_Management.en.md) | [อ่าน](03_User_Guides/Content_Management.th.md) |
### 🏛️ 风险与治理 / ความเสี่ยงและธรรมาภิบาล
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **🛡️ 漏洞管理** | [阅读](06_Operations_Management/Vulnerability_Management.en.md) | [อ่าน](06_Operations_Management/Vulnerability_Management.th.md) |
| **🔗 第三方风险** | [阅读](06_Operations_Management/Third_Party_Risk.en.md) | [อ่าน](06_Operations_Management/Third_Party_Risk.th.md) |
| **🎯 SOC 成熟度评估** | [阅读](06_Operations_Management/SOC_Maturity_Assessment.en.md) | [อ่าน](06_Operations_Management/SOC_Maturity_Assessment.th.md) |
| **SOC 评估检查清单** | [阅读](06_Operations_Management/SOC_Assessment_Checklist.en.md) | [อ่าน](06_Operations_Management/SOC_Assessment_Checklist.th.md) |
| **SLA 模板** | [阅读](06_Operations_Management/SLA_Template.en.md) | [อ่าน](06_Operations_Management/SLA_Template.th.md) |
| **厂商/工具评估** | [阅读](06_Operations_Management/Vendor_Evaluation.en.md) | [อ่าน](06_Operations_Management/Vendor_Evaluation.th.md) |
### 📜 策略与流程 / นโยบายและกระบวนการ
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **数据处理协议** | [阅读](06_Operations_Management/Data_Handling_Protocol.en.md) | [อ่าน](06_Operations_Management/Data_Handling_Protocol.th.md) |
| **变更管理 SOP** | [阅读](06_Operations_Management/Change_Management.en.md) | [อ่าน](06_Operations_Management/Change_Management.th.md) |
| **访问控制策略** | [阅读](06_Operations_Management/Access_Control.en.md) | [อ่าน](06_Operations_Management/Access_Control.th.md) |
| **沟通 SOP** | [阅读](06_Operations_Management/SOC_Communication.en.md) | [อ่าน](06_Operations_Management/SOC_Communication.th.md) |
### 🔧 平台与工具 / แพลตฟอร์มและเครื่องมือ
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **数据治理与保留** | [阅读](02_Platform_Operations/Database_Management.en.md) | [อ่าน](02_Platform_Operations/Database_Management.th.md) |
| **部署程序** | [阅读](02_Platform_Operations/Deployment_Procedures.en.md) | [อ่าน](02_Platform_Operations/Deployment_Procedures.th.md) |
| **集成中心** | [阅读](03_User_Guides/Integration_Hub.en.md) | [อ่าน](03_User_Guides/Integration_Hub.th.md) |
| **故障排除** | [阅读](04_Troubleshooting/Common_Issues.en.md) | [อ่าน](04_Troubleshooting/Common_Issues.th.md) |
## 🎯 测试与培训 / การทดสอบและฝึกอบรม
### 模拟与紫队 / การจำลองและทดสอบ
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **🟣 紫队演练指南** | [阅读](09_Simulation_Testing/Purple_Team_Exercise.en.md) | [อ่าน](09_Simulation_Testing/Purple_Team_Exercise.th.md) |
| **紫队演练** (9 个演练) | [阅读](05_Incident_Response/Purple_Team_Exercises.en.md) | [อ่าน](05_Incident_Response/Purple_Team_Exercises.th.md) |
| **桌面演练** (5 个场景) | [阅读](05_Incident_Response/Tabletop_Exercises.en.md) | [อ่าน](_URL_235/>) |
| **🎣 钓鱼模拟项目** | [阅读](09_Simulation_Testing/Phishing_Simulation.en.md) | [อ่าน](09_Simulation_Testing/Phishing_Simulation.th.md) |
| **模拟指南** | [阅读](09_Simulation_Testing/Simulation_Guide.en.md) | [อ่าน](09_Simulation_Testing/Simulation_Guide.th.md) |
| **原子测试图** (MITRE) | [阅读](09_Simulation_Testing/Atomic_Test_Map.en.md) | [อ่าน](09_Simulation_Testing/Atomic_Test_Map.th.md) |
### 分析师培训 / การฝึกอบรม
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **👤 SOC 分析师入职** (90 天) | [阅读](10_Training_Onboarding/SOC_Onboarding.en.md) | [อ่าน](10_Training_Onboarding/SOC_Onboarding.th.md) |
| **分析师入职** (5 天路径) | [阅读](10_Training_Onboarding/Analyst_Onboarding_Path.en.md) | [อ่าน](10_Training_Onboarding/Analyst_Onboarding_Path.th.md) |
| **培训检查清单** | [阅读](10_Training_Onboarding/Training_Checklist.en.md) | [อ่าน](10_Training_Onboarding/Training_Checklist.th.md) |
## 🏛️ 合规与报告 / การปฏิบัติตามกฎหมายและรายงาน
### 合规
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **合规映射** (ISO 27001 / NIST CSF / PCI DSS) | [阅读](07_Compliance_Privacy/Compliance_Mapping.en.md) | [อ่าน](07_Compliance_Privacy/Compliance_Mapping.th.md) |
| **PDPA 事件响应** (72 小时通知) | [阅读](07_Compliance_Privacy/PDPA_Incident_Response.en.md) | [อ่าน](07_Compliance_Privacy/PDPA_Incident_Response.th.md) |
| **📝 合规差距分析** | [阅读](07_Compliance_Privacy/Compliance_Gap_Analysis.en.md) | [อ่าน](07_Compliance_Privacy/Compliance_Gap_Analysis.th.md) |
### 报告与仪表板
| 文档 | English | ภาษาไทย |
|:---|:---:|:---:|
| **SOC 月度报告** | [阅读](11_Reporting_Templates/Monthly_SOC_Report.en.md) | [อ่าน](11_Reporting_Templates/Monthly_SOC_Report.th.md) |
| **季度业务回顾** | [阅读](11_Reporting_Templates/Quarterly_Business_Review.en.md) | [อ่าน](11_Reporting_Templates/Quarterly_Business_Review.th.md) |
| **高管仪表板** | [阅读](11_Reporting_Templates/Executive_Dashboard.en.md) | [อ่าน](11_Reporting_Templates/Executive_Dashboard.th.md) |
### 模板 / แบบฟอร์มพร้อมใช้
| 模板 | English | ภาษาไทย |
|:---|:---:|:---:|
| **事件报告** | [阅读](11_Reporting_Templates/incident_report.en.md) | [อ่าน](11_Reporting_Templates/incident_report.th.md) |
| **轮岗交接日志** | [阅读](11_Reporting_Templates/shift_handover.en.md) | [อ่าน](11_Reporting_Templates/shift_handover.th.md) |
| **变更请求 (RFC)** | [阅读](11_Reporting_Templates/change_request_rfc.en.md) | [อ่าน](11_Reporting_Templates/change_request_rfc.th.md) |
## 🛠️ 工具 / เครื่องมือ
### 交互式(在浏览器中打开)
| 工具 | 描述 |
|:---|:---|
| **[SOC 成熟度评分器](tools/soc_maturity_scorer.html)** | 自我评估:7 个领域,56 个问题,英/泰双语,1-5 分制 |
| **[MITRE ATT&CK 热力图](tools/mitre_attack_heatmap.html)** | 覆盖图:19 个技术,差距分析,点击查看详情 |
### 仪表板(导入至 SIEM)
| 仪表板 | 格式 | 面板数 |
|:---|:---|:---:|
| **[Grafana SOC 运营](tools/dashboards/grafana_soc_operations.json)** | JSON (导入 → 仪表板) | 14 |
| **[Kibana SOC 运营](tools/dashboards/kibana_soc_operations.ndjson)** | NDJSON (导入 → 已保存对象) | 11 |
| **[ATT&CK Navigator 图层](tools/mitre_attack_navigator.json)** | JSON (导入 → [Navigator](https://mitre-attack.github.io/attack-navigator/)) | — |
### CLI 脚本
| 脚本 | 用法 |
|:---|:---|
| [export_docs.py](tools/export_docs.py) | `python3 tools/export_docs.py` — 将所有文档合并为单个 Markdown |
| [new_playbook.py](tools/new_playbook.py) | `python3 tools/new_playbook.py` — 从模板生成新剧本 |
| [check_links.py](tools/check_links.py) | `python3 tools/check_links.py` — 验证内部链接 |
| [validate_sigma.py](tools/validate_sigma.py) | `python3 tools/validate_sigma.py` — Lint Sigma 规则 |
## 📚 完整手册 / คู่มือฉบับเต็ม
如需离线阅读或打印,请下载整合版手册:
## 📋 版本与追踪 / เวอร์ชันและการติดตาม
| 资源 | 描述 |
|:---|:---|
| **[📝 CHANGELOG.md](CHANGELOG.md)** | 所有版本变更(Keep a Changelog 格式) |
| **[📋 VERSION_TRACKER.md](VERSION_TRACKER.md)** | 每个文档的版本、最后更新日期和下次审查日期 |
| **当前版本** | **v2.4.0** (2026-02-16) |
## 贡献 / การมีส่วนร่วม
1. **标准化** — 尽可能保持流程的厂商中立性
2. **双语** — 同时维护英文 (`.en.md`) 和泰文 (`.th.md`) 版本
3. **审查** — 变更应由 SOC 经理或首席工程师审查
4. **版本控制** — 每次变更都要更新 `CHANGELOG.md` 和 `VERSION_TRACKER.md`
## 👤 关于作者 / ผู้เขียน
Nutthakorn Chalaemwongwan [Pop]
🛡️ SOC 架构师 · 网络安全教育者 · 开源倡导者
### 🎓 培训与咨询 / อบรมและที่ปรึกษา
想要构建、改进或扩展您的安全运营中心?我提供实用的实战培训和咨询服务:
| 🎯 服务 | 描述 |
|:---|:---|
| **🏗️ SOC 构建研讨班** | 从零设计和建立 SOC — 架构、人员、工具、流程 |
| **📚 SOC 分析师训练营** | Tier 1–3 强化课程 — 分流、调查、狩猎、SOAR |
| **🔥 应急响应演练** | 基于真实场景的桌面演练 + 紫队演练 |
| **📊 SOC 成熟度评估** | 评估当前 SOC 的 7 个领域,并提供改进路线图 |
| **📋 合规与差距分析** | 评估 ISO 27001 / NIST CSF / PDPA 差距并提供补救计划 |
| **🎤 演讲与研讨** | 网络安全方面的讲座、研讨班、客座讲座 |
### 📬 联系方式 / ช่องทางติดต่อ
📌 在 LinkedIn 上查看我的完整资料、证书和经历
⭐ 如果这个仓库对您的 SOC 有帮助,请给它一颗星!
สร้างด้วย 🛡️ เพื่อ SOC community ไทยและทั่วโลก
标签:AMSI绕过, Homebrew安装, PB级数据处理, Sigma规则, SOC建设, SOP, 从零搭建SOC, 企业安全, 供应商中立, 剧本, 后端开发, 后端开发, 威胁检测, 安全教育, 安全文档, 安全规范, 安全运维, 安全运营中心, 应急处置, 标准操作程序, 检测规则, 目标导入, 网络安全, 网络映射, 网络资产发现, 网络资产管理, 英语泰语双语, 越狱测试, 逆向工具, 防御加固, 防御策略, 隐私保护