atanupal22256-dot/cybersecurity--soc---portfolio

# 网络安全作品集 – SOC 分析师 & 安全研究 本仓库包含我在受控家庭实验室环境中进行的实用网络安全实验室、检测工程项目和事件调查练习。 我的工作侧重于 **安全运营中心 (SOC) 分析、威胁检测、事件响应和 Web 安全测试**，结合了蓝队和进攻性安全的视角。 所有项目均使用易受攻击的实验室环境和模拟攻击场景，出于 **教育和防御性安全目的** 而执行。 # 安全实验室环境 我的网络安全实验室环境旨在模拟真实世界的企业安全监控和攻击场景。 基础设施包括： • 虚拟化: VirtualBox • 操作系统: Ubuntu Server, Windows 10, Kali Linux • SIEM 平台: Wazuh + Splunk Cloud • 网络监控: Wireshark, Zeek • 漏洞扫描: OpenVAS, Nmap • 内存取证: Volatility • 威胁情报: VirusTotal, AbuseIPDB • 框架: MITRE ATT&CK Navigator 该实验室环境允许我模拟攻击、分析日志、调查事件，并构建类似于真实 SOC 工作流程的检测规则。 # 项目 ## 1. SIEM 部署与攻击检测实验室 技术栈: Wazuh, Splunk Cloud, VirtualBox 使用 Wazuh 和 Splunk Cloud 部署了集中式安全信息和事件管理 (SIEM) 环境。 关键活动： • 在 Ubuntu 上安装并配置 Wazuh 服务器 • 使用 Wazuh 代理集成 Windows 10 和 Kali Linux 端点 • 构建自定义警报规则以检测可疑活动 • 模拟暴力破解攻击、侦察扫描和文件完整性违规 • 跨端点关联安全事件 • 将检测到的警报映射到 MITRE ATT&CK 技术，包括： T1110 – Brute Force T1046 – Network Service Discovery T1083 – File and Directory Discovery 成果： 创建了一个可工作的 SOC 风格检测管道，能够监控端点活动并识别攻击行为。 ## 2. 钓鱼邮件调查 工具: MXToolbox, VirusTotal, Email Header Analysis 分析了多个可疑邮件样本，以识别钓鱼指标和恶意基础设施。 关键活动： • 提取并分析邮件头 • 调查 SPF, DKIM, 和 DMARC 身份验证失败 • 识别伪造的发件人域 • 提取恶意 URL 和附件哈希 • 使用 VirusTotal 和 AbuseIPDB 交叉引用 IOC • 记录完整的钓鱼调查工作流程 成果： 获得了执行 SOC 级别钓鱼分类和威胁情报验证的实际经验。 ## 3. 网络流量分析 (PCAP 调查) 工具: Wireshark, Nmap, Zeek 捕获并分析数据包捕获 (PCAP) 文件，以调查可疑的网络行为。 关键活动： • 识别端口扫描活动 • 检测 ARP 欺骗尝试 • 观察未加密的凭据传输 • 分析命令与控制 (C2) 信标流量 • 使用数据包数据重建攻击时间线 成果： 生成了一份结构化的事件调查报告，识别了受感染的主机、攻击者技术和建议的缓解措施。 ## 4. 事件响应模拟 平台: TryHackMe Blue Team Labs 使用蓝队训练环境进行了模拟安全事件调查。 关键活动： • 调查模拟的安全漏洞 • 使用 Splunk 查询执行日志分析 • 使用 Volatility 进行内存取证 • 重建攻击时间线 • 将攻击者行为映射到 MITRE ATT&CK 战术 成果： 开发了结构化的事件响应工作流程，包括识别、调查、遏制和报告。 ## 5. 漏洞评估项目 工具: Nmap, OpenVAS 目标环境: Metasploitable 2 对故意设计为易受攻击的系统进行了全面的漏洞评估。 关键活动： • 使用 Nmap 执行服务枚举 • 识别暴露的服务和过时的软件版本 • 使用 OpenVAS 执行漏洞扫描 • 基于 CVSS 评分识别多个具有风险等级的 CVE • 根据可利用性和潜在影响确定漏洞优先级 成果： 生成了一份包含风险分析和补救建议的专业漏洞评估报告。 # 检测工程示例 在我的 SIEM 实验室中使用的检测逻辑示例。 暴力破解检测规则概念： 在短时间窗口内来自同一 IP 地址的多次身份验证失败尝试可能表明发生了暴力破解攻击。 检测策略： • 监控身份验证失败事件 • 按源 IP 汇总重复失败 • 当超过定义的阈值时触发警报 • 将检测映射到 MITRE ATT&CK 技术 T1110 这种方法有助于 SOC 分析师快速识别凭据攻击活动。 # 展示技能 安全运营 (SOC) • 警报分类 • 日志分析 • 事件调查 • 威胁检测 进攻性安全 • Web 应用程序测试 • 漏洞评估 • 网络扫描 安全工具 • Wazuh • Splunk • Wireshark • Burp Suite • SQLmap • Nmap • OpenVAS 框架 • MITRE ATT&CK • OWASP Top 10 # 学习平台 TryHackMe – 全球排名前 3% HackTheBox PortSwigger Web Security Academy OWASP Juice Shop KC7 Cyber Range # 免责声明 所有项目和攻击模拟均在受控实验室环境中进行，仅用于教育和防御性网络安全学习目的。 未执行任何未经授权的测试或非法活动。 # 联系方式 LinkedIn: linkedin.com/in/atanu-pal-cybersecurity Email: atanupal22256@gmail.com

标签：AES-256, AMSI绕过, Cloudflare, Conpot, CTI, DAST, ESC8, GitHub Advanced Security, MITRE ATT&CK, SOC分析师, Wazuh, Windows安全, 企业安全, 威胁检测, 安全加固, 安全实验室, 安全测试, 安全运营中心, 开源安全工具, 恶意软件分析, 插件系统, 攻击性安全, 数字取证, 漏洞评估, 社会工程学, 网络安全作品集, 网络安全实验, 网络安全审计, 网络映射, 网络资产管理, 自动化脚本, 逆向工程平台