samruddhin2km/cybersecurity-project-portfolio

# 网络安全项目作品集     本仓库记录了我在企业安全运营和安全控制管理 (SCA) 方面的工作经验。它重点展示了跨多个安全平台的实际工作，包括数据防泄漏、威胁狩猎、SOAR 自动化、漏洞管理、SIEM 管理以及企业安全工具。 本仓库旨在概述在企业环境中执行的真实世界网络安全运营、安全平台管理、合规性验证和事件调查活动。 ## 安全工具与平台 - Forcepoint DLP (Email Protector, Endpoint Protector) - Microsoft Purview DLP - Tenable Nessus - Zscaler Internet Access (ZIA) - D3 Security SOAR - Digital Shadows - LastPass Enterprise - SIEM 平台 (Splunk, QRadar, Exabeam, Google Chronicle) - ANY.RUN 恶意软件沙箱 ## 核心安全能力 - SOC 运营 (L1 / L2 / L3) - 事件响应 - 威胁狩猎 - SOAR 自动化 - 数据防泄漏 - 漏洞管理 - 恶意软件分析 - 检测工程 ## 目录 - [数据防泄漏 (Forcepoint DLP)](#1-data-loss-prevention-forcepoint-dlp) - [威胁狩猎](#2-threat-hunting) - [FIN7 威胁狩猎](#fin7-threat-hunting) - [Akira 勒索软件威胁狩猎](#akira-ransomware-threat-hunting) - [其他威胁狩猎活动](#additional-threat-hunting-activities) - [SOAR 自动化](#3-soar-automation) - [网络欺诈剧本](#cyber-fraud-playbook) - [DDoS 事件响应剧本](#ddos-incident-response-playbook) - [恶意软件调查剧本](#malware-investigation-playbook) - [DLP 事件响应剧本](#dlp-incident-response-playbook) - [漏洞管理](#4-vulnerability-management) - [安全控制管理](#5-security-control-administration-sca) - [SOC 运营经验 (L1 / L2 / L3 分析师)](#6-soc-operations-experience-l1--l2--l3-analyst) - [邮件投递延迟调查](#email-delivery-delay-investigation-forcepoint-email-protector) - [可疑数据传输调查](#incident-investigation--suspicious-data-transfer-activity) - [恶意软件行为分析](#malware-behaviour-analysis) - [恶意软件沙箱调查](#malware-sandbox-investigation-anyrun) ## 1. 数据防泄漏 (Forcepoint DLP) ### 概述 作为安全控制管理 (SCA) 职能的一部分，我负责 Forcepoint 数据防泄漏 (DLP) 平台的管理、监控和运营工作。该角色涉及策略治理、基础设施监控，并确保企业数据保护策略在端点和网络渠道中得到有效执行。 职责包括日常的运营安全任务以及平台生命周期管理活动，例如合规性审查、事件调查和升级验证。 ### 安全策略管理 一项主要职责是根据通过企业服务管理系统升级的请求来管理和治理 DLP 策略。 典型活动包括： - 评估关于**策略创建、修改或移除**的请求。 - 根据业务需求为特定的**用户、组或业务单元**配置策略。 - 确保所有策略实施符合： - 企业安全架构指南 - 法规和合规性要求 - 组织数据分类标准 每个请求都需要仔细评估，以确保任何更改不会引入**潜在的数据窃取风险或安全漏洞**。 ### 运营监控与事件调查 对 Forcepoint Security Manager (FSM) 仪表板进行持续监控，以确保所有 DLP 组件正常运行。 运营监控包括： - 审查 DLP 组件的状态，例如保护器、策略引擎和端点通信。 - 通过系统警报和日志调查组件故障或服务中断。 - 参考供应商文档和知识库资源进行故障排除。 - 在需要时执行补救措施，包括升级 FSM 基础设施内的 DLP 保护器。 ### 平台合规性与策略完整性审查 定期进行治理检查，以确保 DLP 平台保持适当的策略执行和合规性一致性。 这些审查包括： - 验证**所有活动的 DLP 规则和策略均已正确配置并有正当理由**。 - 审查通过服务请求创建的**临时策略例外**。 - 确保临时访问规则在**其预期目的实现后被移除**。 - 分析**防火墙和策略执行日志**以识别潜在的未经授权的绕过尝试。 由于某些临时策略例外在平台内不会自动过期，因此需要手动验证和日志审查，以确保没有不必要的规则保持活动状态。 ### Forcepoint 平台升级验证 在执行 Forcepoint Security Manager 平台升级之前，进行了结构化的验证过程，以确保现有策略和集成在升级后能继续正常运行。 验证测试包括： - 针对敏感数据模式测试 DLP 策略，以确认规则触发正确。 - 验证在 **Windows 端点代理**上的策略执行。 - 验证在 **macOS 端点**上的兼容性和策略行为。 - 模拟跨各种数据通道的策略执行，包括： - 电子邮件附件 - Web 上传 - 可移动介质 - 基于云的文件传输 - 确认违规行为在系统内生成了适当的**安全事件和警报**。 这些验证步骤确保可以安全地执行平台升级，而不会中断现有的数据保护机制。 ### 端点代理部署与升级管理 作为平台生命周期管理的一部分，端点代理升级也在企业系统间进行了协调。 关键活动包括： - 通过**企业变更管理流程**安排部署活动。 - 规划升级时间表，以最大程度减少对最终用户的运营影响。 - 执行更新后的 **Forcepoint DLP 端点代理**的企业范围部署。 - 监控部署进度并验证各系统的成功安装。 - 确保端点代理在升级后与 **Forcepoint Security Manager (FSM)** 保持正常通信。 - 执行部署后验证，以确认持续的**策略执行和事件生成**。 这些活动确保企业 DLP 基础设施保持**稳定、最新，并符合组织安全标准**。 ## 2. 威胁狩猎 ### 概述 作为主动安全运营的一部分，我执行了针对性的威胁狩猎演练，以识别企业环境内潜在的失陷指标 和对手技术。这些狩猎旨在主动检测可能绕过传统告警机制的恶意活动。 使用的威胁狩猎方法是 **TAHITI (Targeted Hunting Integrated Threat Intelligence)**，它结合了威胁情报、针对性的日志分析和对手行为映射。 威胁狩猎专注于已知的针对金融和金融科技组织的对手，包括勒索软件操作者和受经济利益驱动的网络犯罪团伙。 进行的两次著名的威胁狩猎演练是基于 **FIN7** 和 **Akira 勒索软件**的活动模式。 ### FIN7 威胁狩猎 FIN7 是一个受经济利益驱动的网络犯罪团伙，以针对金融机构和处理敏感金融数据的组织而闻名。由于此威胁行为者与金融科技环境的相关性，进行了一次专门的威胁狩猎。 活动包括： - 映射与 FIN7 活动相关的 **MITRE ATT&CK 技术**。 - 根据已知的攻击者行为开发多个狩猎用例。 - 查询企业日志以识别潜在的失陷指标。 - 审查与映射技术相关的身份验证事件、进程执行和网络活动。 - 将发现与可用的威胁情报相关联。 分析未在受监控的环境中发现任何与 FIN7 技术相关的可疑活动。 尽管未发现恶意指标，但这些主动狩猎对于验证现有安全控制的有效性并确保环境对新兴威胁保持弹性至关重要。 所有发现和方法均已记录，以供将来参考和改进威胁监控。 ### Akira 勒索软件威胁狩猎 Akira 勒索软件是一个以针对企业环境并利用各种工具和技术进行初始访问、横向移动和数据窃取而闻名的威胁行为者。 进行了一次针对性的狩猎，以评估环境中是否存在与 Akira 活动相关的任何行为。 在调查期间： - 分析了系统和网络日志，以识别与已知 Akira 战术一致的可疑行为。 - 特别关注了通常用于远程访问和文件传输的工具。 调查发现了几台安装了远程访问工具（如 **AnyDesk** 和 **TeamViewer**）的系统。这些应用程序可能启用自动 VPN 连接和网络隧道等功能，这些功能可能被滥用于未经授权的访问或数据窃取。 尽管没有系统遭到入侵，但这些发现突显了环境内的**潜在风险面**。 额外的观察结果包括存在**文件传输实用程序**，例如： - FileZilla - WinSCP 这些工具可用于加密文件传输，因此需要对其进行监控以防止未经授权的数据移动。 ### 安全改进与告警增强 基于 Akira 威胁狩猎的发现，提出并实施了几项安全监控改进措施： - 为**涉及远程访问工具与可疑或恶意 IP 地址通信的网络事件**创建告警机制。 - 监控涉及 AnyDesk 和 TeamViewer 的潜在**命令与控制 (C2) 通信模式**。 - 对**使用 FileZilla 的加密文件传输**实施监控控制，以检测潜在的数据窃取活动。 这些改进加强了组织检测与勒索软件操作和未经授权的数据传输尝试相关的可疑活动的能力。 ### 结果 威胁狩猎演练确认了： - 没有系统受到 FIN7 或 Akira 相关活动的入侵。 - 现有的安全控制在防止已知攻击模式方面是有效的。 - 额外的监控控制可以进一步增强早期检测能力。 主动威胁狩猎在验证安全态势、识别潜在攻击面和改进防御监控能力方面发挥着关键作用，即使未检测到直接的失陷指标。 ### 其他威胁狩猎活动 除了 FIN7 和 Akira 勒索软件调查之外，还进行了额外的主动威胁狩猎演练，以识别对其他恶意软件家族的潜在暴露。 针对以下对象进行了类似的狩猎： - **Windows 信息窃取恶意软件** - **自动 macOS 窃取器** 这些狩猎涉及审查端点遥测数据、身份验证日志、进程执行活动和网络连接，以识别通常与凭据窃取和数据窃取技术相关的指标。 为了加强检测能力，**创建了自定义狩猎查询和监控规则**，以识别与这些威胁相关的可疑行为。 尽管在这些狩猎期间未发现恶意活动，但调查帮助团队更好地了解了凭据窃取恶意软件的运作方式以及攻击者可能如何尝试窃取敏感信息。 **这些狩猎的主要成果包括：** - 创建额外的检测查询和监控规则以尽早识别可疑活动。 - 加深对信息窃取者使用的凭据窃取技术的了解。 - 建议加强用户关于凭据收集攻击的**安全意识**。 - 建议尽可能对外部服务和客户端访问**强制实施多因素认证 (MFA)**。 尽管未发现直接的入侵行为，但这些威胁狩猎活动提供了宝贵的见解，有助于进一步**加强和强化环境内的安全控制**。 ## 3. SOAR 自动化 ### 概述 作为安全运营的一部分，我在 **D3 Security SOAR 平台**内独立设计并实施了多个事件响应剧本。这些剧本自动化了事件分类、丰富、调查和响应的关键步骤，以缩短响应时间并标准化调查工作流程。 每个剧本都包含了以下自动化内容： - 捕获事件时间戳以衡量 **TTD (检测时间)** 和 **TTR (响应时间)** - 提取失陷指标 - 执行威胁情报丰富 - 从企业系统收集上下文信息 - 支持分析师做出补救和事件关闭决策 自动化显著提高了调查效率，同时保持了不同安全事件类型之间的一致性。 ### 网络欺诈调查剧本 该剧本旨在调查与影响组织的**网络欺诈和品牌滥用**相关的事件。 关键调查步骤包括： - 捕获事件时间戳以获取 TTD 和 TTR 指标。 - 将事件分类为： - 网络钓鱼尝试 - 伪造档案 - 恶意移动应用程序 - 品牌滥用 - 识别威胁载体，例如： - 冒充域名 - 伪造的社交媒体档案 - 基于电子邮件的攻击 - 恶意移动应用程序 - 使用以下来源丰富调查数据： - Active Directory (AD) - WHOIS 记录 - VirusTotal 情报 - 确定事件是**真阳性还是假阳性**。 - 根据工具能力手动或通过自动化启动补救措施。 - 记录发现并关闭事件工单。 ### DDoS 调查剧本 创建了一个专用剧本以支持 **分布式拒绝服务 (DDoS) 警报**的自动化调查。 工作流程包括： - 捕获 TTD 和 TTR 指标。 - 提取失陷指标，例如： - 源 IP 地址 - 目标 IP 地址 - 公司公共 IP 范围 - 使用 **AbuseIPDB** 和其他威胁情报来源丰富指标。 - 确定警报是否源自监控平台，例如： - Akamai 优先警报 - LogicMonitor DoS 警报 - 评估业务服务是否受到影响。 - 支持补救措施，包括： - 阻断恶意流量 - 如果流量阻断不足，调查额外的缓解策略。 ### 恶意软件调查剧本 该剧本自动化了恶意软件相关警报的初步分类和调查。 关键活动包括： - 识别**警报来源和上下文**。 - 使用 OSINT 来源（如 VirusTotal）丰富调查数据。 - 检索与受影响系统关联的 **Active Directory 用户详情**。 - 从端点收集**进程活动和系统行为**。 - 关联来自安全平台的相关警报，包括： - Microsoft ATP - Microsoft 365 安全警报 - 执行 **Microsoft 365 狩猎查询**以检索端点活动。 - 导出调查结果并将其附加到事件记录中以供归档。 - 将活动分类为： - 恶意 - 可疑 - 潜在的不需要的进程执行 - 检查相关活动是否与 ServiceNow 中现有的**服务请求**相关联，以识别合法的运营活动。 - 如果确认存在恶意活动： - 识别是否可能涉及敏感数据。 - 通过沙箱动态分析进行进一步调查。 - 使用取证调查工作站进行更深入的分析。 ### DLP 调查剧本 创建了一个专用剧本以自动化与**数据防泄漏事件**相关的调查。 工作流程包括： - 与 **Forcepoint Security Manager (FSM)** 集成以检索事件详情。 - 收集有关可疑数据传输尝试的上下文信息。 - 对尝试的数据传输方法进行分类，例如： - 电子邮件 - Web 浏览器 - USB 存储 - 云应用程序 - 聊天平台 - 打印活动 - 确定数据传输尝试是**被阻断还是成功的**。 - 根据风险等级分配事件优先级。 - 支持补救措施，包括**策略调整或执行验证**。 ### 实施的其他剧本 除了上述核心剧本外，还开发了其他几个自动化调查工作流程以支持安全运营，包括： - 异常行为调查 - 潜在黑客活动警报 - 数据泄露事件 - 网络钓鱼调查 - 零日漏洞事件响应工作流程 这些剧本帮助跨多个安全场景标准化了事件响应流程。 ### 自定义自动化脚本 为了支持这些剧本，在 SOAR 平台内开发了多个自定义脚本，以自动化丰富和数据处理任务。 自动化能力的示例包括： - 识别用户是否属于特定的 **Active Directory 组**。 - 根据： - 应用程序 - 登录类型 - 设备名称 - 操作系统 - 身份验证方法 - 源 IP 地址 - 地理位置 总结 **AD 登录事件**。 - 检索用户账户的**上次密码更改时间戳**。 - 识别**资产上存在的严重漏洞**。 - 从端点系统检索进程活动数据。 - 总结**设备文件活动事件**。 - 从结构化数据字段中提取唯一值。 - 根据： - 发件人 - 收件人 - 主题 搜索电子邮件活动。 - 解析 URL 并使用字符串处理技术提取相关指标。 这些自动化脚本通过减少手动分析工作并实现更快的事件分类，显著提高了调查工作流程的效率。 ### 结果 这些 SOAR 剧本的实施有助于实现： - 更快的事件分类和调查。 - 跨不同事件类型的标准化调查程序。 - 提高丰富和威胁情报关联的效率。 - 减少安全分析师的手动工作。 - 更好的事件响应活动的文档记录和跟踪。 ## 4. 漏洞管理 ### 概述 作为安全运营的一部分，我负责支持跨企业系统的漏洞管理流程。此流程的目标是持续识别基础设施中的安全弱点，并在被利用之前协调补救措施。 漏洞发现和分析使用 **Tenable Nessus** 执行，并为**云环境和本地基础设施**使用单独的扫描平台。 漏洞管理流程遵循生命周期方法，包括： - 发现 - 评估 - 优先级排序 - 补救协调 - 验证 这确保了企业环境中的漏洞得到持续监控并以结构化方式解决。 ### 漏洞发现与扫描管理 定期漏洞扫描在多个资产类别中安排进行，以确保企业系统的完整覆盖。 不同的设备类别根据运营影响和维护要求拥有**不同的扫描计划和时间窗口**。这些包括： - Windows 服务器 - Linux 服务器 - 员工工作站 - 网络基础设施设备（防火墙、路由器、负载均衡器） - 面向公众的系统 - 云基础设施 在每个扫描周期后，审查 Tenable Nessus 仪表板以确认： - 扫描是否成功完成 - 基于代理的扫描身份验证是否正常工作 - 是否所有资产都按预期进行了扫描 - 是否发现了任何新漏洞 如果扫描失败或未成功完成，将调查问题并重新安排扫描以确保完全覆盖。 ### 漏洞评估与优先级排序 一旦检测到漏洞，将根据以下几个因素对其进行分析和优先级排序： - 漏洞严重性评分 - 资产的暴露级别（面向公众 vs 内部） - 系统的业务关键性 - 表明正在被积极利用的威胁情报 严重漏洞被优先安排立即补救，而严重程度较低的漏洞在正常的补丁周期内处理。 在确定补救紧急程度时，还考虑了 Tenable **漏洞优先级评级 (VPR)**。 ### 与补救团队协调 一旦经过验证，漏洞将被传达给负责补救的相应基础设施团队。 这通常需要与以下团队协调： - 网络运营团队 - 服务器基础设施团队 - Microsoft 服务团队 - 平台工程团队 补救措施可能包括： - 应用供应商安全补丁 - 升级或更换易受攻击的软件 - 修改系统配置 - 移除不支持或过时的软件 每周举行漏洞审查会议，以跟踪补救进度并讨论新发现的高风险漏洞。 ### 示例：Microsoft Outlook 零日漏洞 在一次漏洞监控周期中，通过 Tenable Nessus 仪表板发现了一个与 **Microsoft Outlook** 相关的严重漏洞。 该漏洞是使用 **Nessus Plugin ID 187315** 检测到的，与 **CVE-2023-23397** 相关，这是一个 Microsoft Outlook 漏洞，可能允许攻击者利用身份验证机制并可能获得未经授权的访问。 由于其严重性以及当时正被作为零日漏洞讨论的事实，该问题被视为 **Priority 1 (P1) 漏洞事件**。 调查涉及： - 审查企业资产的漏洞扫描结果 - 识别可能受该漏洞影响的系统 - 与 **Microsoft 基础设施团队**协调 - 监控供应商公告和安全补丁发布 经过验证，确认**没有企业资产受到该漏洞影响**，但 Microsoft 团队确保作为安全更新周期的一部分应用了适当的补丁。 这种主动监控确保环境受到保护，免受高风险漏洞的影响，即使没有系统直接受到影响。 ### 示例：通过 Nessus 发现的防火墙漏洞 在一次例行漏洞扫描中，Tenable Nessus 发现了一个影响**网络防火墙设备**的漏洞。 漏洞检测插件指示防火墙固件版本包含已知的安全弱点。 调查过程包括： - 在 Nessus 仪表板中审查漏洞详情和受影响的设备 - 根据部署的防火墙固件验证漏洞 - 与**网络运营团队**协调 网络团队通过升级防火墙固件并应用推荐的配置更新来执行补救。 后续的漏洞扫描确认问题已成功解决，不再检测到该漏洞。 ### 验证 补救措施完成后，对受影响的系统重新扫描，以确认漏洞已成功解决。 如果漏洞继续出现在后续扫描中，将进行进一步调查并与相关团队协调额外的补救步骤。 此验证步骤确保补救措施有效，并且漏洞已从环境中完全消除。 ### 结果 漏洞管理流程有助于确保： - 持续监控企业系统中的安全弱点 - 优先处理并快速补救严重漏洞 - 跨团队协调提高了补救效率 - 定期扫描和验证在云和本地基础设施中保持了强大的安全态势 ## 5. 安全控制管理 ### Zscaler Proxy – URL 策略优化项目 致力于优化 Zscaler Internet Access (ZIA) 平台内的代理 URL 过滤策略。 **项目亮点** - 审查了包含大量手动配置 URL 的现有代理 URL 过滤规则。 - 将符合条件的 URL 迁移到 Zscaler 内**云管理的自定义 URL 类别**。 - 更新了代理策略以引用云 URL 类别，而不是在规则中直接维护大型 URL 列表。 - 验证了迁移后访问行为保持不变。 **结果** - 降低了代理规则复杂性并提高了可维护性。 优化示例： 优化前的代理 URL 规则：~120 迁移后的代理 URL 规则：~45 - 简化了策略管理并提高了 URL 过滤控制的可扩展性。 ### Digital Shadows – 外部威胁情报监控 Digital Shadows 用于监控与组织数字足迹相关的外部网络威胁。 **运营活动** - 监控与凭据暴露、品牌滥用和域名冒充相关的警报。 - 调查指示外部平台上潜在凭据泄露或账户暴露的警报。 - 审查与公司域和可能的网络钓鱼基础设施相关的威胁情报警报。 - 验证警报以确定它们是代表真正的风险还是假阳性。 - 将相关发现上报给内部安全团队以进行进一步调查。 - 记录调查结果并跟踪补救措施。 此监控有助于检测针对组织的潜在外部威胁。 ### SIEM 平台 (Chronicle) – 概念验证 (POC) 参与了一项 SIEM 概念验证计划，以评估集中式日志记录和监控能力。 **活动** - 协助审查 SIEM 平台要求和评估标准。 - 测试了来自多个基础设施源的安全日志的摄取。 - 验证了对身份验证事件、端点活动和网络日志的可见性。 - 协助确定潜在的检测用例以供实施。 - 记录了评估过程中的观察结果和发现。 POC 帮助评估了 SIEM 平台在改进集中式安全监控方面的有效性。 ### LastPass 企业密码管理器 支持 LastPass 企业密码管理平台的运营管理和故障排除。 **运营活动** - 协助用户进行账户激活和登录故障排除。 - 调查了共享密码更新未在共享文件夹间同步的问题，并执行了保险库刷新操作。 - 协助解决了与浏览器扩展和身份验证错误相关的登录问题。 - 在需要时协助解锁或重新激活用户账户。 - 支持了用户电子邮件 ID 更新的情况，并确保更改后的账户同步。 - 在需要时协助通过管理控制台重置主密码。 :contentReference[oaicite:0]{index=0} 这些运营活动有助于确保对企业密码管理服务的可靠访问。 ## 6. SOC 运营经验 (L1 / L2 / L3 分析师) 作为安全运营中心的一员，负责跨多个安全平台（包括 SIEM、EDR、DLP、代理和电子邮件安全系统）执行警报分类、调查、事件响应和威胁验证。 ### 邮件投递延迟调查 调查了一个报告的问题，即多个用户在假日期间经历了接收电子邮件的延迟。 **调查摘要** - 分析了邮件流日志和 Forcepoint Email Protector 事件。 - 发现 Email Protector 暂时与 Exchange 服务器失去连接，导致电子邮件在保护器内排队。 - 邮件投递服务的重试机制逐渐尝试重新投递，导致电子邮件投递延迟。 - Exchange 服务器连接恢复后，排队的电子邮件成功投递。 **采取的行动** - 与平台团队合作，针对重复的连接故障实施监控。 - 创建了一个检测规则，当在特定时间窗口内发生重复的延迟投递事件时发出警报。 这有助于确保将来如果发生类似问题能更快地检测到。 ### 事件调查 – 可疑数据传输活动 调查了一个与端点设备可能发生的敏感数据传输相关的高严重性警报。 **调查方法** - 审查了端点活动时间轴和系统进程日志。 - 发现创建了一个包含多个文档的压缩归档文件，并将其传输到了外部网络共享。 - 观察到文件压缩活动，随后是网络身份验证和与远程存储路径的连接。 - 与基础设施团队验证了目标 IP 和网络路径。 进一步分析显示，目标网络与连接到企业网络的路由器相关联，该路由由个人连接，从而通过 Windows 文件共享实现了文件传输。 :contentReference[oaicite:0]{index=0} **结果** - 确认该活动是由用户设备发起的，而非由恶意软件引起。 - 由于潜在的数据暴露风险，将发现上报给相关团队。 ### 恶意软件行为分析 进行了分析以评估端点保护对潜在恶意文件的有效性。 **测试场景** - 在测试系统上执行了一个模拟的恶意文件以观察系统行为。 - 该文件从远程服务器下载了额外的脚本，并执行了多个操作，如系统信息收集和数据传输活动。 目的是确定端点保护解决方案是否会在执行期间检测到这些行为。 :contentReference[oaicite:1]{index=1} **主要观察结果** - 某些文件变体在执行时未立即被检测到。 - 当文件哈希值为威胁情报来源所知时，检测效果有所改善。 此练习有助于评估安全监控可见性并识别潜在的检测缺口。 ### 恶意软件沙箱调查 (ANY.RUN) 使用 **ANY.RUN** 进行沙箱分析，以调查通过电子邮件警报接收到的可疑可执行文件。 **分析步骤** - 将可疑文件样本上传到沙箱环境。 - 观察了进程执行行为、网络连接和文件系统更改。 - 识别了指标，例如异常的 PowerShell 活动和与外部基础设施的出站连接。 - 从沙箱分析中提取了文件哈希、域和 IP 指标。 结果有助于确定文件是否具有恶意性，以及是否需要采取任何额外的安全行动。 ### 调查的安全警报 在整个 SOC 运营过程中，调查了由多种安全技术生成的广泛警报，包括 SIEM、端点安全、网络安全和云监控平台。 处理的警报示例： - Windows 多次登录失败 - 指向易受攻击端口的入站流量 - 来自可疑国家/地区的 Azure 访问 - 来自同一来源的 VPN 多次访问拒绝 - 检测到木马感染 - 检测到密码窃取程序 - 检测到潜在不需要的软件 - 可疑的 PowerShell 命令执行 - 端点恶意软件检测警报 - 检测到 Cisco ASA 垂直端口扫描 - Cisco ASA 配置更改 - 来自黑名单 IP 的 Azure 登录 - 观察到黑名单 IP 通信 这些警报是通过分析日志、验证失陷指标、验证用户活动以及在需要补救措施时与基础设施团队协调来调查的。 ## 关于本作品集 本仓库展示了在企业环境中执行的真实世界网络安全运营工作，包括安全事件调查、威胁狩猎演练、自动化开发以及安全控制管理。 敏感的组织信息已被移除，同时保留了技术调查方法论。

标签：Akira, Beacon Object File, BlazeGraph, DAST, DDoS防护, DLP, DNS 反向解析, EDR, Exabeam, FIN7, Forcepoint, GPT, IP 地址批量处理, LastPass, QRadar, SIEM管理, SOAR, Tenable, Terraform 安全, Zscaler, 代理安全, 企业安全, 勒索软件, 合规性验证, 威胁情报, 安全管控, 安全组合, 安全运营中心, 密码安全, 已泄露账号检查, 库, 应急响应, 开发者工具, 微软终端防护, 恶意软件分析, 数字影子, 沙箱分析, 漏洞管理, 管理员页面发现, 终端安全, 网络安全, 网络安全审计, 网络映射, 网络欺诈, 网络资产管理, 脆弱性评估, 自动化剧本, 防御态势, 隐私保护