nuwuser/soc-analyst-portfolio

# SOC 分析师作品集 ## 关于我 有志成为 SOC 分析师，在安全调查、SIEM 分析和事件响应方面具有实践经验。目前正在通过实际实验室和记录的案例研究，使用 Splunk 等工具培养真实的网络安全技能。 ## 主要亮点 调查了一起涉及恶意软件交付和后利用活动的多阶段网络钓鱼事件，取得了以下成果： - 94% 的真阳性识别率 - 93% 的假阳性准确率 - 在模拟 SOC 环境中研判了 29 个警报 ## 技能与工具 * SIEM: Splunk * 威胁检测与分析 * 事件响应 * 日志分析 * MITRE ATT&CK 框架 * 网络钓鱼调查 ## 作品集项目 ### 网络钓鱼事件调查 * 调查了一起涉及用户与恶意链接交互的网络钓鱼攻击 * 分析了日志并识别了入侵指标 (IOC) * 将活动映射到 MITRE ATT&CK 技术 * 提出了补救措施建议 ### 网络钓鱼活动调查（多阶段事件） -> [查看完整调查](./Incident-Reports/Phishing-Unfolding-Incident.md) ### 暴力破解事件调查 * 审查身份验证日志 * 身份验证记录显示针对单个用户账户出现了爆发性的失败登录尝试，随后来自同一 IP 地址的登录成功。 * 识别攻击模式 * 连续失败后紧接着成功的序列强烈暗示了密码猜测或暴力破解活动，而非正常的用户错误。 * 评估时间点 * 登录活动发生在大约凌晨 02:14，这超出了大多数企业用户的标准工作时间，增加了可疑度。 * 评估源 IP 背景 * 源 IP 被视为可疑的，因为它是外部的，在身份验证尝试中重复出现得很快，并且直接与成功登录事件相关联。 * 与正常用户行为进行对比 * 合法用户偶尔可能会输错一两次密码，但在不到一分钟的时间内，同一 IP 连续八次失败尝试后紧接着成功，这并非典型行为。 ### 暴力破解调查 -> [查看完整调查](./Incident-Reports/Brute-Force-Investigation.md) ## 当前关注点 * 完成 TryHackMe SOC Level 1 学习路径 * 加强 Splunk 查询技能 * 构建真实世界事件调查作品集 ## 与我联系 * LinkedIn: https://www.linkedin.com/in/joshua-sell-dallas * GitHub: https://github.com/nuwuser

标签：AMSI绕过, APT, BurpSuite集成, Cloudflare, IOC, IP 地址批量处理, meg, MITRE ATT&CK, Object Callbacks, PB级数据处理, PoC, StruQ, 信息安全, 凭证填充, 告警研判, 威胁情报, 威胁检测, 安全运维, 安全运营中心, 实战演练, 库, 应急响应, 开发者工具, 恶意软件, 搜索语句（dork）, 暴力破解, 案例研究, 网络安全, 网络映射, 网络钓鱼, 误报率, 速率限制, 防御加固, 隐私保护