JB20723/SOC-Analysis-and-Incident-Response-Lab

本项目演示了安全运营中心 (SOC) 工作流模拟，包括日志分析、威胁情报集成、事件分诊和事件响应。 本项目的目标是使用行业安全工具模拟现实世界中的 SOC 分析师任务。 使用的工具 Wazuh Elastic Security TheHive Metasploit Velociraptor FTK Imager 展示的技能 日志关联和异常检测 威胁情报集成 警报分诊和 IOC 验证 事件升级工作流 证据保全和取证分析 完整 SOC 攻击检测模拟 项目模块 1️⃣ 高级日志分析 使用 Elastic Security 进行日志关联 检测失败登录模式 异常网络流量检测 2️⃣ 威胁情报集成 导入威胁源 IOC 匹配 使用 MITRE ATT&CK 技术进行威胁搜寻 3️⃣ 事件升级工作流 Tier 1 到 Tier 2 升级 事件文档记录 情况报告 (SITREP) 4️⃣ 警报分诊 警报调查 利用威胁情报源进行 IOC 验证 5️⃣ 证据保全 内存获取 网络痕迹收集 监管链文档记录 6️⃣ SOC 模拟毕设项目 使用 Metasploit 进行攻击模拟 使用 Wazuh 进行检测 事件响应和遏制 创建 SOC 事件报告 📊 您可以添加的示例表格 日志关联示例 Timestamp Event ID Source IP Destination IP Notes 2025-08-18 4625 192.168.1.100 8.8.8.8 可疑登录 警报分诊示例 Alert ID Description Source IP Priority 004 PowerShell 执行 192.168.1.101 高

标签：CIDR查询, CIDR输入, Cloudflare, DNS 反向解析, EDR, Elastic Security, FTK Imager, IOC验证, IP 地址批量处理, MITRE ATT&CK, SOC分析师, TheHive, Velociraptor, Wazuh, 事件升级, 取证保全, 告警分流, 威胁情报, 安全实验室, 安全运营中心, 开发者工具, 异常检测, 插件系统, 数字取证, 日志关联分析, 漏洞利用模拟, 用户态调试, 网络安全, 网络映射, 脆弱性评估, 自动化脚本, 隐私保护