shweta-prabhu/SOC-Investigation-Portfolio

# SOC 调查作品集 ## 概述 欢迎来到我的安全运营中心 (SOC) 调查作品集。 本仓库包含基于模拟攻击场景的网络安全调查文档。每个案例研究都展示了我在分析警报、调查可疑活动以及使用安全日志和监控工具重建攻击链方面的能力。 本作品集旨在展示实用的 SOC 分析师技能，包括威胁检测、事件分析和事件报告。 ## 展示技能 1. 安全警报分类 2. 日志分析 3. 威胁检测与调查 4. 事件响应文档记录 5. 妥协指标 (IOC) 识别 6. 攻击时间线重建 7. 恶意软件行为分析 8. 网络流量调查 # 调查案例研究 1. 钓鱼攻击调查 ### 描述： 分析一起钓鱼攻击，该攻击导致了 PowerShell 执行、反向 shell 连接以及可疑的 DNS 活动。 ### 关键发现： - 恶意钓鱼邮件引发了初始入侵 - PowerShell 被用于下载 payload - 与外部服务器建立了反向 shell - 可疑 DNS 查询表明存在命令与控制 (C2) 通信 2. 恶意软件分析 ### 描述： 调查可疑文件，以了解恶意软件行为并识别妥协指标。 ### 关注领域： - 恶意文件的静态分析 - 识别可疑字符串和文件特征 - 观察恶意软件行为 - 提取哈希、域名和 IP 地址等指标 3. 网络流量调查 ### 描述： 分析网络流量日志，以识别受损系统与外部服务器之间的可疑通信。 ### 关注领域： - 识别异常出站连接 - 检测命令与控制流量 - 调查 DNS 请求 - 审查数据包捕获 (PCAP) 数据 4. SIEM 警报分类 ### 描述： 调查安全信息与事件管理 (SIEM) 系统生成的警报并确定其优先级。 ### 关注领域： - 分析安全警报 - 判定误报与真实威胁 - 关联多个事件 - 上报已确认的事件 ## 工具与技术 - SIEM 平台 - 端点日志 - 网络监控工具 - 威胁情报源 - 日志分析技术 ## 仓库结构 SOC-Investigation-Portfolio/ ├── Phishing-Investigation │ ├── incident-report.md │ ├── attack-timeline.md │ ├── indicators-of-compromise.md │ └── screenshots/ ├── Malware-Analysis ├── Network-Traffic-Investigation ├── SIEM-Alert-Triage └── README.md ## 学习目标 ### 本作品集展示了我以下方面的能力： - 调查现实世界的各种安全警报 - 识别系统日志中的恶意活动 - 以结构化和专业的方式记录事件 - 理解攻击者的技术和行为 ## 作者 网络安全爱好者 | SOC 分析师培训中 本仓库是我动手学习网络安全之旅的一部分，展示了实用的 SOC 调查技能。

标签：AMSI绕过, BurpSuite集成, Cloudflare, DAST, DNS 反向解析, DNS监控, IOC, IPv6, IP 地址批量处理, MITRE ATT&CK, OpenCanary, PCAP分析, PowerShell, 云安全监控, 入侵调查, 反向Shell, 命令与控制, 域名收集, 妥协指标, 威胁检测, 安全分析师, 安全告警分诊, 安全运营中心, 恶意软件分析, 攻击链重构, 案例研究, 红队模拟, 网络信息收集, 网络安全, 网络安全作品集, 网络映射, 隐私保护, 静态分析