robertatramontina/incident-response-siem

# 🔐 事件调查 – 初始访问 (SIEM, CTI, CVE) ## 🎯 概述 实验室环境下的安全事件分析，重点关注 Initial Access 阶段，结合使用了 SIEM、CTI 和漏洞分析。 ## 🔍 目标 识别未授权访问尝试，验证威胁指标 (IOCs)，并理解攻击向量。 ## 🛠️ 技术 - Wazuh (SIEM) - DQL Queries - AbuseIPDB, VirusTotal, WHOIS - MITRE ATT&CK - NVD (CVE 分析) ## 🔎 执行活动 - 安全事件分析 (Event ID 4625 和 4624) - 识别 RDP 暴力破解 - 检测成功登录 (失陷账户) - 构建攻击时间线 - 验证恶意 IP (CTI) - 关键漏洞分析 (CVE) - MITRE ATT&CK 映射 ## 🚨 结果 - 识别出多个恶意 IP - 确认自动化暴力破解攻击 - `svc_backup` 账户失陷 - 实现了日志、CTI 和漏洞之间的关联 ## 📌 备注 本项目在实验室环境中开发，基于模拟的攻击场景。 ## 📂 结构 - `/docs` → 项目完整报告 - `/images` → 证据和屏幕截图 ## 👩‍💻 作者 Roberta Tramontina

标签：AbuseIPDB, Ask搜索, Cloudflare, CVE漏洞分析, DQL查询, Event ID 4624, Event ID 4625, IOCs, MITRE ATT&CK, NVD, RDP暴力破解, VirusTotal, Wazuh, WHOIS, Windows事件日志, 初始访问, 失陷账户, 安全事件调查, 安全运营, 实验室模拟, 扫描框架, 攻击时间线, 数字取证, 登录失败分析, 网络安全威胁情报, 自动化脚本