jad-fahmi/soc-log-analysis

# SOC 日志分析 — 安全事件调查 一系列模拟真实 SOC 场景的结构化日志分析调查。每项调查均遵循标准的分类处理流程：告警审查、日志关联、威胁情报富化以及文档化记录的调查发现。 ## 调查案例 | # | 场景 | 严重程度 | 结果 | |---|----------|----------|---------| | 01 | 暴力破解登录攻击 | P2 | 确认攻击 | | 02 | 恶意软件感染模拟 | P1 | 确认攻击 | | 03 | 可疑 PowerShell 活动 | P2 | 确认攻击 | ## 环境 - **SIEM:** Splunk Free Tier (本地) - **日志来源:** Windows Event Logs, Linux auth logs, Sysmon, 防火墙日志 - **威胁情报:** VirusTotal, AbuseIPDB, MITRE ATT&CK - **端点:** Windows 10 VM, Ubuntu 22.04 VM ## 仓库结构 ``` soc-log-analysis/ ├── investigations/ │ ├── brute-force/ │ ├── malware-simulation/ │ └── powershell-activity/ ├── detection-rules/ ├── reports/ ├── evidence/ │ ├── log-exports/ │ └── screenshots/ ├── scripts/ └── docs/ ``` ## 方法论 每项调查均遵循结构化的分类处理流程： 1. **告警审查** — 初始 SIEM 告警详情、时间戳、源/目标 2. **日志关联** — 从告警透视至支持性日志证据 3. **威胁情报** — 通过 VirusTotal、AbuseIPDB 富化 IOC 4. **MITRE 映射** — 将观察到的 TTP 映射至 ATT&CK 框架 5. **结论** — 确认攻击 / 误报 / 上报 6. **遏制** — 建议的响应措施 ## 参考资料 - [MITRE ATT&CK](https://attack.mitre.org/) - [Windows 安全事件 ID](https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/) - [Splunk SPL 参考](https://docs.splunk.com/Documentation/Splunk/latest/SearchReference)

标签：Cloudflare, DAST, IPv6, IP 地址批量处理, Linux 安全, MITRE ATT&CK, OpenCanary, PE 加载器, PoC, PowerShell, Python3.6, RFI远程文件包含, Sysmon, Windows 安全, 协议分析, 威胁情报, 安全事件管理, 安全培训, 安全态势感知, 安全模拟, 安全运营中心, 开发者工具, 恶意软件分析, 数字取证, 数据关联, 暴力破解, 权限提升, 横向移动, 私有化部署, 编程规范, 网络安全, 网络映射, 自动化脚本, 防御规避, 隐私保护, 鱼叉式钓鱼, 黄金证书