bathani0909/qradar-offense-analysis

# QRadar 分析 针对 IBM QRadar SIEM 的分析、检测规则、用例和仪表板。 ## 概述 本仓库记录了在 IBM QRadar SIEM 中执行的安全 Offense 调查。 内容包括 Offense 分析、认证异常调查、暴力破解检测用例、蜜罐警报、可疑登录活动以及 SOC 分类笔记。 ## 目标 - 调查 QRadar Offense 和警报 - 记录 Offense 分析方法论 - 构建可复用的检测工程笔记 - 将 Offense 映射到 MITRE ATT&CK - 维护 SOC 和 SIEM 分析工作的作品集 ## 仓库结构 ### docs/ 包含调查方法论、攻击故事、MITRE 映射以及实验室/环境笔记。 ### offenses/ 针对 QRadar 中观察到的分组 Offense 主题的详细记录。 ### use-cases/ 源自观察到的 Offense 模式的检测用例。 ### rules/ QRadar 关联规则观察、调优建议和分析。 ### queries/ 实用的 AQL 查询以及调查/搜寻参考。 ### iocs/ 分析过程中观察到的可疑用户名、源 IP 和涉及资产。 ### screenshots/ 经过脱敏处理的 QRadar 调查截图。 ### reports/ 事件摘要和经验教训。 ## 涵盖的示例 Offense 类型 - 同一用户的多次登录失败 - 登录失败后成功 - Root 登录失败 - 错误用户名的认证失败 - 蜜罐 / Tarpit 访问 - 发现新主机 - 可疑认证模式 ## MITRE ATT&CK 覆盖范围 - T1110 – Brute Force (暴力破解) - T1046 – Network Service Scanning (网络服务扫描) - T1078 – Valid Accounts (有效账户) (可能的认证后相关性) ## 展示的技能 - SIEM 监控 - QRadar Offense 调查 - 检测工程 - 威胁搜寻 - 日志分析 - MITRE ATT&CK 映射 - 安全事件分类 ## 调查工作流 1. 审查 Offense 摘要和触发的规则 2. 识别源 IP、目标 IP、用户名和日志源 3. 深入查看相关事件和时间线 4. 判断活动是恶意的、良性的还是误报 5. 将发现映射到 MITRE ATT&CK 6. 记录建议和调优机会 ## 免责声明 发布前，本仓库中的所有截图和工件均应进行脱敏处理，以移除任何敏感、内部或个人身份信息。

标签：AMSI绕过, BurpSuite集成, IBM QRadar, MITRE ATT&CK 映射, Offense Analysis, QRadar AQL, Tuning, 免杀技术, 威胁检测, 安全仪表盘, 安全分析与调查, 异常登录检测, 插件系统, 暴力破解检测, 检测规则, 用例库, 网络安全, 网络资产发现, 蜜罐监测, 防御工程, 隐私保护