mendozajustin/soc-investigation-reports

GitHub: mendozajustin/soc-investigation-reports

一份面向 SOC L1 的结构化调查报告合集,通过真实案例演练提升威胁检测与事件响应能力。

Stars: 0 | Forks: 0

# 🛡️ SOC 调查报告 — 蓝队作品集 👤 **作者:** Justin Benedict P. Mendoza 🎯 **SOC 分析员 | 蓝队 | 事件调查与数字取证** 动手实践 **安全运营中心(SOC)一级调查**,展示在威胁检测、事件响应、事件文档记录以及蓝队操作方面的实际经验。 本作品集展示了 **五个端到端的 SOC 案例研究**,基于 TryHackMe、LetsDefend 和 Blue Team Labs Online 等平台上的真实企业攻击模拟。 ## 📌 作品集概述 本仓库包含一组结构化的 incident investigation reports,旨在反映 **真实世界的 SOC 工作流**。 每个报告展示完整的分析师流程,包括: - 告警分级与验证 - SIEM 日志分析与关联 - Windows 安全事件调查(事件 ID 4624、4625、4740 等) - 威胁检测与攻击者行为分析 - MITRE ATT&CK 技术映射 - 事件范围界定与影响评估 - 严重性分级与升级 - 遏制与修复建议 - 专业的 SOC 事件报告 这些调查与 **SOC L1 分析员职责** 保持一致,并模拟从检测到升级的真实工作流。 ## 🔎 展示的技术技能 - 安全信息与事件管理(SIEM) - 事件响应(IR) - 威胁检测与分析 - Windows 事件日志调查 - 终端妥协分析 - 网络钓鱼攻击调查 - RDP 暴力破解检测 - Web 应用攻击分析 - DFIR / 基于主机的调查 - 凭证滥用与横向移动检测 - 威胁情报扩充(WHOIS、VirusTotal、AbuseIPDB) - 端点、身份识别与网络遥测的日志关联 - MITRE ATT&CK 框架映射 - 安全文档与报告 ## 📂 包含的报告 📄 **由网络钓鱼发起的 DNS 泄露** [查看报告](https://raw.githubusercontent.com/mendozajustin/soc-investigation-reports/main/SOC_Investigation_Phishing_DNS_Exfiltration_Justin_Mendoza.pdf) 📄 **RDP 暴力破解妥协** [查看报告](https://raw.githubusercontent.com/mendozajustin/soc-investigation-reports/main/SOC_Investigation_RDP_Brute_Force_Justin_Mendoza.pdf) 📄 **终端妥协 — Boogeyman 活动** [查看报告](https://raw.githubusercontent.com/mendozajustin/soc-investigation-reports/main/SOC_Investigation_Endpoint_Compromise_Boogeyman_Campaign_Justin_Mendoza.pdf) 📄 **遥测关联与 Windows DFIR 调查** [查看报告](https://raw.githubusercontent.com/mendozajustin/soc-investigation-reports/main/SOC_Investigation_Telemetry_Correlation_Justin_Mendoza.pdf) 📄 **Web 应用妥协 — 身份验证绕过 → RCE → 横向移动** [查看报告](https://raw.githubusercontent.com/mendozajustin/soc-investigation-reports/main/SOC_Investigation_WebApp_Auth_Bypass_RCE_Lateral_Movement_Justin_Mendoza.pdf) ## 🧠 调查方法论 每个案例遵循结构化的 SOC 事件响应工作流: 1. 告警验证 2. 证据收集 3. 日志分析与事件关联 4. 威胁行为识别 5. 攻击时间线重建 6. 影响与风险评估 7. 升级决策 8. 遏制与修复建议 9. 最终事件文档记录 这展示了从 **检测 → 分析 → 升级 → 报告** 的能力,采用基于证据的方法。 ## 📈 职业目标 积极寻求 **SOC 分析员 L1 / 初级 SOC 分析员** 机会,在以下方面做出贡献: - 24/7 SOC 监控环境 - 告警分级与事件调查 - SIEM 监控与日志分析 - 威胁检测与响应操作 - 蓝队防御性安全举措 - 事件报告与升级工作流 致力于持续学习、严谨的调查方法以及清晰、可操作的安全报告。 ## ⚠️ 模拟声明 所有调查均在受控的实验室环境中进行,用于专业发展和作品集展示。 不涉及任何真实组织的基础设施、专有数据或敏感信息。
标签:AMSI绕过, Cloudflare, MITRE ATT&CK, 事件调查报告, 企业安全, 威胁情报, 威胁检测, 子域枚举, 安全文档, 安全运营中心, 实战演练, 开发者工具, 攻击溯源, 日志关联, 端点检测, 网络安全案例研究, 网络映射, 网络资产管理