Garavelousecurity/threat-detection-investigation

# 🛡️ 威胁检测调查 ## 📌 场景 安全运营中心 (SOC) 检测到来自内部工作站的异常出站流量。 该流量被监控系统标记，因为它尝试与未知的外部服务器通信。 本次调查的目的是分析可疑活动，并确定其是否表明存在潜在的网络攻击。 ## 📂 网络活动日志 示例网络流量日志： ``` Timestamp Source IP Destination IP Port Action ----------------------------------------------------------------------- 2026-03-04 10:22:11 192.168.1.45 185.199.108.153 443 Outbound Connection 2026-03-04 10:22:14 192.168.1.45 185.199.108.153 443 Outbound Connection 2026-03-04 10:22:19 192.168.1.45 185.199.108.153 443 Outbound Connection ``` ## 🔎 调查 发现： * 来自同一内部工作站的重复出站连接 * 与未知外部 IP 的通信 * 流量模式暗示可能存在命令与控制 (C2) 通信 可能的失陷指标 (IOC)： * 可疑的外部 IP 地址 * 异常的网络流量模式 * 重复的出站连接 ## ⚠ 威胁评估 潜在威胁： 命令与控制通信 可能的场景： 受损系统可能与攻击者控制的服务器进行通信。 风险等级：高 潜在影响： * 数据窃取 * 恶意软件持久化 * 攻击者远程控制 ## 🛠 事件响应措施 建议的响应措施： 1. 将受影响的工作站从网络隔离 2. 调查主机上正在运行的进程 3. 执行恶意软件扫描 4. 在防火墙处阻止可疑 IP 地址 5. 收集取证证据以进行进一步分析 ## 🧠 MITRE ATT&CK 映射 技术： T1071 – 应用层协议 描述： 攻击者使用常见的网络协议（如 HTTPS）与命令与控制服务器通信。 ## 🔐 安全改进 建议的控制措施： * 网络流量监控 * 端点检测与响应 (EDR) * 威胁情报集成 * SIEM 告警规则 ## 🎯 展示的技能 * 威胁检测 * 网络流量调查 * 失陷指标 (IOC) 分析 * 事件响应规划 * MITRE ATT&CK 框架理解

标签：AMSI绕过, Application Layer Protocol, C2通信, Cloudflare, IP 地址批量处理, MITRE ATT&CK, SOC调查, T1071, 可疑网络活动, 命令与控制, 威胁检测, 安全运营, 库, 应急响应, 恶意软件, 扫描框架, 指标 IOC, 攻击映射, 数字取证, 数据渗出, 网络安全, 自动化脚本, 速率限制, 防御加固, 防火墙阻断, 隐私保护, 隔离措施, 高危漏洞