ElidioColonnaPXL/infosec-wiki

 一个专注于蓝队的知识库，涵盖安全调查、检测以及基于实验室的安全分析。 本仓库记录了在网络流量分析、检测工程、安全调查、实验场景以及精选技术演练方面的实操内容。其主要目标不仅是收集笔记，而是建立一个结构化的工作体系，侧重于理解攻击者的行为、用证据验证发现，并提升防御可见性。 本项目并未将安全视为孤立的工具或一次性的练习，而是围绕务实的分析师思维来构建：调查、验证、检测和解释。 ## 精选内容 ### 精选调查 - **网络流量调查** —— 使用数据包捕获、协议行为、过滤和基于证据的结论，分析可疑或异常活动。 - **事件风格案例报告** —— 结构化的调查，重建事件经过、识别方式以及可以汲取的防御教训。 - **基于 Sherlock 的报告** —— 将挑战材料重写为专业的调查报告，而非单纯以获取 flag 为导向的解题记录。 ### 精选检测 - **检测笔记与逻辑** —— 源于观察到的攻击者行为的实用检测思路，并在相关处映射到 MITRE ATT&CK。 - **查询与规则开发** —— SIEM 风格的分析、规则调优和防御逻辑，旨在提高可见性并减少分析师的猜测工作。 - **来自调查的检测机会** —— 将调查发现转化为告警或威胁狩猎思路的案例。 ### 精选实验室工作 - **家庭实验室安全分析** —— 基于实验室的检测、日志记录、遥测数据收集和攻击模拟的验证。 - **聚焦 SIEM 的实验** —— 测试告警、审查事件以及增进对防御工作流的理解。 - **蓝队实操工作流** —— 旨在支持调查、分诊和防御分析的场景。 ## 涵盖范围 本仓库以防御和分析安全工作为中心，包括： - 安全调查 - 网络流量分析 - 检测与检测逻辑 - 基于家庭实验室的测试与验证 - 具有防御价值的精选演练 - 与实用分析师工作流相关的技术笔记 - 支持分析的脚本和小型工具 重点在于那些有助于解释**发生了什么**、**如何识别它**以及**未来如何检测类似活动**的内容。 ## 仓库结构 ``` infosec-wiki/ ├── detections/ # Detection notes, ideas, rules, and related logic ├── investigations/ # Incident-style writeups and structured case reports ├── lab/ # Homelab notes, setups, testing, and validation ├── notes/ # Supporting technical notes and reference material ├── scripts/ # Small utilities and helper scripts ├── walkthroughs/ # Selected walkthroughs with practical security value └── images/ # Screenshots and supporting visuals ``` ## 调查方法 每项调查的文档都侧重于： * 发生了什么 * 是如何被识别的 * 有哪些证据支持该结论 * 可能的影响或意义是什么 * 未来如何检测或调查类似活动 目标是保持报告结构化、可复现，并在防御视角下具有实用价值。 ## 检测 **detections/** 部分旨在提供可支持蓝队工作流的防御逻辑和分析。 这包括： * 基于行为的检测思路 * 与观察到的技术相关的分析师笔记 * 规则或查询开发 * ATT&CK 对齐的检测思路 * 在调查或实验室工作中发现的机会 本部分并非单纯的规则堆砌。重点在于记录检测背后的推理过程以及它们旨在识别的行为。 ## 调查 **investigations/** 部分是本仓库的核心。 这些条目被编写为结构化的分析师报告，而非简单的挑战解答。旨在重建事件经过、用证据验证结论，并以清晰专业的方式解释分析过程。 典型的调查内容包括： * 简明的事件摘要 * 审查的证据 * 分析过程与推理 * 活动的时间线或顺序 * 发现与结论 * 检测机会 * 相关的防御建议 ## 实验室工作 **lab/** 部分记录了在受控环境中进行的实际测试。 这包括： * SIEM 相关实验 * 遥测数据收集与审查 * 可疑活动验证 * 用于防御分析的攻击模拟 * 日志记录与告警练习 该实验室用于超越理论层面，测试安全事件在数据中实际呈现的样貌。 ## 演练 **walkthroughs/** 部分包含精选的技术演练，这些演练对防御性理解仍具有实用价值。 包含这些演练是因为它们有助于以下方面： * 枚举意识 * 攻击路径理解 * 暴露面识别 * 调查或检测思路 * 更广泛的蓝队背景 演练是辅助材料，而调查和检测仍是本仓库的核心焦点。 ## 工具与技术 本仓库通常会涉及以下工具和概念： * Wireshark / tshark * Sigma * SIEM 风格查询逻辑 * Windows 事件分析 * 数据包捕获分析 * Python 脚本编写 * MITRE ATT&CK 映射 * 日志审查与证据关联 具体工具可能会不断演变，但重点仍将保持在实操分析和防御理解上。 ## 备注 本项目结合了： * 独立研究 * 动手实验室工作 * 结构化学习 * 驱动调查的文档记录 * 对真实或模拟场景的防御分析 部分材料基于培训平台、练习实验室或挑战环境，但目标始终是提取实用的分析师价值，而不仅仅是完成练习。 ## 状态 这是一个持续进行的项目，没有固定的终点。 随着技能的提升和新场景的探索，它会不断增加新的调查、检测、实验室材料和辅助笔记。 欢迎提供反馈和建议。

标签：AMSI绕过, Beacon Object File, BurpSuite集成, Cloudflare, Google搜索, HTTP工具, IP 地址批量处理, MITRE ATT&CK, PE 加载器, SOC分析师, 事件分析, 企业安全, 协议分析, 告警分诊, 威胁情报, 威胁检测, 子域名变形, 子域枚举, 安全实验室, 安全知识库, 安全调查, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 攻击模拟, 权限提升, 网络安全, 网络资产管理, 蓝军演练, 逆向工具, 隐私保护, 驱动签名利用