JSantos1990/Soc-lab

# 🛡️ SOC Lab – 安全运营与网络分析 本仓库包含我亲手搭建的 SOC（Security Operations Center）实验室。 内容包括网络流量分析、自定义 IDS/IPS 规则、事件报告以及日志调查练习。 本实验室的目标是构建并展示以下技能： - Network 和 packet 检查 - 威胁检测和警报调查 - 编写 IDS/IPS 签名 - Log 分析 - 创建 SOC 风格的事件报告 - 理解攻击者行为和 MITRE ATT&CK 技术 ## 📂 Repository 结构 ### 📁 `wireshark-analysis` 使用 Wireshark 进行的 PCAP 调查。 内容包括： - 协议分析 - 可疑流量识别 - 会话重建 - 攻击流量示例 ### 📁 `suricata-rules` 为检测工程实践构建的自定义 Suricata IDS/IPS 签名。 示例包括： - 端口扫描检测 - 暴力破解尝试 - 恶意软件类似的 C2 模式 - 可疑协议行为 ### 📁 `incident-reports` 遵循专业格式的模拟 SOC 事件报告： - 事件摘要 - 指标 - Log 分析 - 时间线 - 遏制和补救 - 经验教训 ### 📁 `log-analysis` 使用以下内容的日志调查练习： - Syslog - Windows Event Logs - Web 服务器日志 - 认证活动 - Firewall/IDS 事件 包括检测逻辑、查询和发现。 ## 🔧 使用工具与技术 - **Wireshark** – packet 分析 - **Suricata** – IDS/IPS 规则创建和测试 - **Zeek** – 网络事件分析（可选） - **Elastic Stack / Kibana** – 日志可视化 - **Linux 工具** – tcpdump, ss, journalctl, netstat - **Python** – 日志解析和自动化 ## 🧭 未来内容路线图 - [ ] 使用 Suricata 规则进行端口扫描检测 - [ ] 恶意 HTTP 流量 PCAP 分析 - [ ] SOC 报告：SSH 暴力破解调查 - [ ] DNS 隧道检测示例 - [ ] 映射到 MITRE ATT&CK 的 Windows 事件日志分析 ## 📌 本实验室的目的 本仓库作为我发展 SOC 和 Blue Team 技能的实践环境。 所有内容均基于安全分析师可能遇到的真实场景。

标签：AMSI绕过, Beacon Object File, BurpSuite集成, C2通信, CCTV/网络接口发现, Cloudflare, DNS隧道, Elastic Stack, IDS/IPS, IoC, IP 地址批量处理, Kibana可视化, Metaprompt, MITRE ATT&CK, MIT许可证, PCAP分析, PE 加载器, PoC, Python自动化, Rootkit, SSH安全, Suricata, TGT, Windows事件日志, Wireshark, Zeek, 内核驱动, 句柄查看, 威胁检测, 安全实验室, 安全运营中心, 异常行为检测, 插件系统, 攻防演练, 数字取证, 数据统计, 暴力破解, 流量重放, 漏洞分析, 现代安全运营, 端口扫描, 网络协议, 网络安全, 网络映射, 自动化脚本, 规则编写, 越狱测试, 路径探测, 逆向工具, 速率限制, 隐私保护