SOC Analyst 初/中级作品集

我是 Mohamed Farah，一名网络安全专业人士，持有 IU 国际应用科学大学 (IU International University of Applied Sciences) 的网络安全学士学位、Google 网络安全专业证书以及 IT 基础认证。

本仓库是我的 SOC Analyst Tier 1 和 2 作品集的集中展示区。它展示了包括日志流水线、警报分类、检测规则、威胁狩猎、事件工单和详细实验记录在内的基于证据的项目。这些实战项目提供了我能够使用 Wazuh、Sysmon、Zeek、Suricata 和 Velociraptor 等行业标准工具收集遥测数据、分类警报、构建检测以及编写清晰事件工单的技术证明。

## 目标职位：SOC Analyst Tier 1 或 2 ### 资质证书 - **学士学位：** 网络安全，2026 | IU 国际应用科学大学 - **认证：** 技术支持基础，2022 | Google, Coursera - **认证：** Google 网络安全专业证书，2022 | Google, Coursera 此外，我用可重复的步骤、截图和工单记录每个项目，以便快速验证工作成果。 **所在地：** 内罗毕，肯尼亚 | **LinkedIn:** www.linkedin.com/in/mohamed-farah-bb7b8622a **简历：** 编写中 | **邮箱：** Mohamedalas929@gmail.com ### 本作品集证明的能力 - 我可以将日志从端点和网络传感器传输到 SIEM 并确认覆盖范围。 - 我可以使用可重复的方法调查警报：验证、范围界定、时间线、决策、后续行动。 - 我可以构建检测并调整噪音，然后将检测映射到攻击者行为。 - 我可以记录工作以便其他分析师重现和验证。 ## 技能覆盖范围（您可以雇佣我负责的工作） ### SOC Tier 1 核心 - 警报分类：严重程度、误报检查、证据收集、升级说明 - Windows 遥测：事件日志 (Event Logs)、Sysmon、进程和网络活动审查 - SIEM 日常工作：接入、解析/字段、搜索、仪表板、基础调优 - 工单编写：清晰的摘要、影响、证据、采取的行动、建议 ### SOC Tier 2 核心 - 检测工程：自定义规则、阈值、调优、测试用例 - 威胁狩猎：基于假设的狩猎、 pivots、时间线、可疑链条 - 事件响应基础：遏制思路、范围界定、沟通记录、最终报告 - 威胁情报基础：IOC 检查、富化、置信度说明、局限性 ### 基础知识（广泛的网络安全基础） - 网络：TCP/IP、DNS、HTTP/S、常用端口、NAT、基本数据包和流逻辑 - 操作系统：Windows 进程模型、持久化概念、服务和任务基础 - 安全基础：身份验证 vs 授权、最小权限、日志策略、风险思维 ### 使用的标准和方法 - 用于检测和调查的 MITRE ATT&CK 映射（关注 TTP 的笔记） - NIST 事件响应流程（准备、检测、分析、遏制、恢复、经验教训） - 用于控制和加固建议的 CIS 式思维 ## 如何验证我的工作 如果您只有 2 分钟：打开项目 01 并阅读 `tickets/` 中的一个工单以及证明截图。 每个项目仓库遵循一致的结构，以便您快速检查证据： - `docs/` 架构、设置说明以及“良好”状态的标准 - `screenshots/` 配置和警报的证明 - `rules/` 自定义检测规则和调优说明 - `hunts/` 狩猎查询和发现 - `tickets/` SOC 风格的事件工单（时间线 + 证据 + 决策） - `references/` 使用的官方文档。 **工单格式一致：** 1. 摘要和严重程度 2. 触发警报的原因 3. 证据（主机、用户、进程树、网络、哈希、时间戳） 4. 范围和影响（受影响的内容，尚不清楚的内容） 5. 决策（良性、可疑、已确认） 6. 采取的行动 + 后续步骤 # 项目（10 个实战 SOC 项目） 图例：✅ 已完成 | 🟡 进行中 | ⬜ 计划中 1. ⬜ **项目 01：迷你 SOC 实验室（Windows 上的 Wazuh + Sysmon）** - 构建：通过 Wazuh 和 Sysmon 进行遥测收集和警报检测的 SIEM 管道。 - 输出：实验记录、自定义检测规则和专业化的事件工单。 - [概览：Wazuh & Sysmon SIEM 实施](./projects/project-01-wazuh-sysmon-siem/README.md) - 仓库：https://github.com//soc-project-01-wazuh-sysmon-siem 2. ⬜ **项目 02：警报分类行动手册包（Tier 1 工作流）** - 构建：针对常见警报（暴力破解、可疑 PowerShell、新管理员用户）的分步行动手册 - 输出：分类清单 + 样本工单 + 关闭/升级标准 - 概览：[projects/project-02.md](projects/project-02.md) - 仓库：https://github.com//soc-project-02-triage-playbooks 3. ⬜ **项目 03：网络可见性实验室（Suricata + Zeek）** - 构建：IDS + 网络元数据，然后将警报/日志发送到您的 SIEM - 输出：针对扫描行为、可疑 DNS 和异常出站模式的检测 - 概览：[projects/project-03.md](projects/project-03.md) - 仓库：https://github.com//soc-project-03-suricata-zeek 4. ⬜ **项目 04：网络钓鱼调查实验室** - 分析：标头、URL、附件、Payload 指标 - 输出：网络钓鱼决策说明 + 用户指导 + 遏制步骤 - 概览：[projects/project-04.md](projects/project-04.md) - 仓库：https://github.com//soc-project-04-phishing-triage 5. ⬜ **项目 05：端点威胁狩猎** - 狩猎：持久化检查、异常的父子进程链、未签名的二进制文件 - 输出：狩猎查询 + 发现 + 后续检测 - 概览：[projects/project-05.md](projects/project-05.md) - 仓库：https://github.com//soc-project-05-velociraptor-hunting 6. ⬜ **项目 06：检测工程包（ATT&CK 映射）** - 编写：一组带有测试用例和调优说明的检测 - 输出：“为何可疑”、预期误报和验证步骤 - 概览：[projects/project-06.md](projects/project-06.md) - 仓库：https://github.com//soc-project-06-detection-pack 7. ⬜ **项目 07：云日志分类** - 构建：一个小型云日志记录设置并调查常见的 IAM 风险 - 输出：针对高风险 API 调用和访问模式的分类说明 - 概览：[projects/project-07.md](projects/project-07.md) - 仓库：https://github.com//soc-project-07-cloudtrail-triage 8. ⬜ **项目 08：从漏洞管理到 SOC 工作流** - 扫描：实验室环境，确定发现结果的优先级，并开启修复工单 - 输出：风险说明、修复措施和验证截图 - 概览：[projects/project-08.md](projects/project-08.md) - 仓库：https://github.com//soc-project-08-vuln-to-tickets 9. ⬜ **项目 09：事件时间线案例（勒索软件风格模拟）** - 构建：来自遥测数据的时间线，确认发生了什么，提出遏制措施 - 输出：事件报告 + 执行摘要 + 经验教训 - 概览：[projects/project-09.md](projects/project-09.md) - 仓库：https://github.com//soc-project-09-incident-timeline 11. ⬜ **项目 10：SOC 轻量自动化（富化 + 工单系统）** - 自动化：IOC 富化、信誉检查和基础分类工作流 - 输出：更快的分类说明、一致的证据收集 - 概览：[projects/project-10.md](projects/project-10.md) - 仓库：https://github.com//soc-project-10-automation-lite ### 仓库结构 - `projects/` 包含用于快速浏览的单页摘要 - 每个项目仓库包含完整的证据链和可重现的步骤 我将每个项目都视为真实的 SOC 案例。您可以审查我的工单，验证截图中的证据，并按照我的步骤重现结果。

标签：AMSI绕过, DNS 反向解析, EDR, HTTP工具, IP 地址批量处理, Libemu, Metaprompt, PB级数据处理, Rootkit, SOC Analyst, Suricata, Sysmon, Tier 1 分析师, Tier 2 分析师, Velociraptor, Wazuh, Zeek, 事件工单, 告警分流, 命令控制, 威胁检测, 子域名变形, 安全实验报告, 安全认证, 安全运维, 安全运营中心, 实验室环境, 库, 应急响应, 搜索语句（dork）, 数字取证, 数据采集, 日志管道, 检测规则, 求职作品集, 现代安全运营, 用户态调试, 端点检测与响应, 网络安全, 网络安全专业, 网络安全审计, 网络安全监控, 网络映射, 网络资产发现, 脆弱性评估, 脱壳工具, 自动化脚本, 隐私保护, 驱动开发