chicorito12/soc-investigation-reports

# 🛡️ SOC 调查报告 — 蓝队作品集 👤 作者：Justin Benedict P. Mendoza 🎯 有志成为 SOC 分析师 | 专注蓝队 展示在威胁检测、事件响应和蓝队行动方面实践经验的 SOC Level 1 实战调查。 ## 📌 概述 本仓库包含一系列基于模拟企业攻击场景（TryHackMe、LetsDefend 及类似平台）的结构化 SOC 事件调查报告。 每份报告都展示了端到端的安全运营中心 (SOC) 工作流程，包括： - 告警分诊与验证 - SIEM 日志分析与关联 - Windows 安全事件分析 (Event ID 4624, 4625 等) - 威胁检测与行为分析 - MITRE ATT&CK 映射 - 事件影响评估 - 升级分类 - 抑制与修复决策 - 专业事件报告编写 这些调查反映了与现实世界 SOC 环境一致的应用事件响应方法论。 ## 🔎 展示的技术技能 - 安全信息与事件管理 (SIEM) - 事件响应 (IR) - 威胁检测与分析 - Windows 事件日志调查 - RDP 暴力破解检测 - 钓鱼攻击调查 - 凭据滥用分析 - 威胁情报富化 (WHOIS, VirusTotal, AbuseIPDB) - 跨端点与网络遥测的日志关联 - MITRE ATT&CK 框架映射 - 安全文档编写与报告 ## 📂 包含的报告 📄 钓鱼报告 [查看报告](https://raw.githubusercontent.com/chicorito12/soc-investigation-reports/main/SOC_Investigation_Phishing_DNS_Exfiltration_Justin_Mendoza.pdf) 📄 RDP 暴力破解报告 [查看报告](https://raw.githubusercontent.com/chicorito12/soc-investigation-reports/main/SOC_Investigation_RDP_Brute_Force_Justin_Mendoza.pdf) ## 🧠 调查方法论 每个案例都遵循结构化的 SOC 事件响应流程： 1. 告警验证 2. 日志分析与事件关联 3. 威胁行为识别 4. 时间线重建 5. 影响与风险评估 6. 升级决策 7. 抑制建议 8. 最终事件文档记录 这展示了以结构化、基于证据的方式从检测推进到解决的能力。 ## 📈 目前正在寻求 SOC 分析师职位 我正在积极寻找初级或入门级的 SOC 分析师机会，希望能在以下方面做出贡献： - 24/7 SOC 监控环境 - 告警分诊与事件调查 - 威胁检测与响应运营 - SIEM 监控与日志分析 - 蓝队防御安全计划 我致力于持续学习、严谨的调查方法论，并提供清晰、可落地的安全报告。 ## ⚠️ 模拟声明 所有调查均在受控实验室环境中进行，用于专业发展和作品集展示目的。 不涉及任何实时的组织基础设施或敏感数据。

标签：AMSI绕过, Cloudflare, Conpot, DAST, DNS 反向解析, EDR, HTTP/HTTPS抓包, IP 地址批量处理, LetsDefend, MITRE ATT&CK, PE 加载器, PoC, RDP攻击, TryHackMe, Windows安全, 企业安全, 入侵分析, 初级安全分析师, 威胁检测, 子域枚举, 安全实验室, 安全报告, 安全案例研究, 安全运营中心, 库, 应急响应, 态势感知, 恶意软件分析, 情报 enrichment, 暴力破解, 网络安全, 网络映射, 网络资产管理, 脆弱性评估, 速率限制, 防御战术, 隐私保护