jaypatel-sec/SOC-Detection-Lab

# SOC 检测实验室 — Jay Patel 汇集所有防御性安全工作 —— 调查、检测查询、威胁搜寻、YARA 规则和 Sigma 规则。 每项调查均记录了 IOC 富化、日志分析、时间线重建和 MITRE 映射。 每条 SPL 和 KQL 查询在提交前均经过测试。 ## 调查 ### LetsDefend | # | 告警名称 | 类型 | 严重程度 | 日期 | 文件 | |---|---|---|---|---|---| | — | — | — | — | — | — | **目标：25+ 项调查** ### BOTS (Boss of the SOC) | 调查 | 平台 | 日期 | 文件 | |---|---|---|---| | — | — | — | — | ## SPL 查询库 ### 认证 | 查询 | 检测内容 | 文件 | |---|---|---| | — | — | — | ### 网络 | 查询 | 检测内容 | 文件 | |---|---|---| | — | — | — | ### 端点 | 查询 | 检测内容 | 文件 | |---|---|---| | — | — | — | ### AD 攻击 | 查询 | 检测内容 | MITRE | 文件 | |---|---|---|---| | — | — | — | — | **目标：30+ 条 SPL 查询** ## Sentinel KQL 规则 ### 分析规则 | 规则 | 检测内容 | MITRE | 文件 | |---|---|---|---| | — | — | — | — | ### KQL 库 | 查询 | 用途 | 文件 | |---|---|---| | — | — | — | ## 威胁搜寻 | 搜寻 | 假设 | 日期 | 文件 | |---|---|---|---| | — | — | — | — | ## 恶意软件分析 ### 静态分析 | 样本 | 类型 | 日期 | 文件 | |---|---|---|---| | — | — | — | — | ### 动态分析 | 样本 | 类型 | 日期 | 文件 | |---|---|---|---| | — | — | — | — | ## YARA 规则 | 规则 | 检测内容 | 日期 | 文件 | |---|---|---|---| | — | — | — | — | ## Sigma 规则 | 规则 | 检测内容 | MITRE | 日期 | 文件 | |---|---|---|---|---| | — | — | — | — | — | ## 进度 | 领域 | 已完成 | 目标 | |---|---|---| | LetsDefend 调查 | 0 | 25+ | | BOTS 调查 | 0 | 持续进行 | | SPL 查询 | 0 | 30+ | | Sentinel KQL 规则 | 0 | 20+ | | 威胁搜寻 | 0 | 5+ | | 已分析恶意软件样本 | 0 | 10+ | | YARA 规则 | 0 | 10+ | | Sigma 规则 | 0 | 10+ |

标签：AD攻击, AMSI绕过, DAST, DNS 反向解析, DNS 解析, EDR, IP 地址批量处理, KQL, LetsDefend, PE 加载器, Sentinel, Sigma规则, SPL, Web报告查看器, YARA, 云资产可视化, 入侵指标, 后渗透, 威胁检测, 子域名变形, 安全实验室, 安全运营中心, 开源软件, 恶意软件分析, 插件系统, 数据包嗅探, 无线安全, 活动目录攻击, 流量嗅探, 目标导入, 知识库安全, 网络信息收集, 网络安全, 网络安全审计, 网络映射, 脆弱性评估, 防御性安全, 隐私保护