leoul07/Incident-Handlers-Journal

GitHub: leoul07/Incident-Handlers-Journal

一份涵盖勒索软件分诊、网络取证、钓鱼响应和 IDS 规则分析等七类安全事件处置全流程的 SOC 分析师实践日志。

Stars: 0 | Forks: 0

# 📓 事件处理日志 ![事件处理日志横幅](https://static.pigsec.cn/wp-content/uploads/repos/cas/7b/7ba1c80eb13f586a8220ce1ef7f6eae3497299e532f719de1a0db35f01eec5e3.svg)

Role: SOC Analyst Focus: Network Forensics Focus: Detection Engineering Tool: VirusTotal Regulatory: HIPAA Compliant Environment: Linux Tooling

🔍 **关注领域:** 事件响应 (IR) | 网络取证 | 威胁情报 | 检测工程 (IDS) | 法规合规 (HIPAA) 👤 **角色:** SOC Analyst / 事件响应者 / 安全运营中心专家
📌 目录(点击展开) - [📖 项目概述](#-project-overview) - [🚨 背景问题](#-the-problem) - [🎯 主要成果](#-main-outcome) - [📈 影响与利益相关者](#-impact--stakeholders) - [🧰 所用工具与技术](#-tools--technologies-used) - [🛠️ 展示的技能](#%EF%B8%8F-skills-demonstrated) - [🛡️ 关键事件记录摘要](#%EF%B8%8F--summary-of-key-incident-entries) * [1️⃣ 勒索软件事件 – 初步分诊](#1️⃣-ransomware-incident--initial-triage) * [2️⃣ 数据包捕获分析 (Wireshark)](#2️⃣-packet-capture-analysis-wireshark) * [3️⃣ 实时数据包捕获 (tcpdump)](#3️⃣-live-packet-capture-tcpdump) * [4️⃣ 恶意软件哈希调查 (VirusTotal)](#4️⃣-malware-hash-investigation-virustotal) * [5️⃣ 钓鱼事件响应(Playbook 执行)](#5️⃣-phishing-incident-response-playbook-execution) * [6️⃣ 最终事件报告审查 - 电商数据泄露](#incident-6) * [7️⃣ Suricata IDS 规则与日志分析](#7️⃣-suricata-ids-rule--log-analysis) - [📘 完整报告](#-full-report)
本仓库包含一份详尽的**事件处理日志**,记录了在多个网络安全场景下执行的实际检测、分析和响应工作流。该项目展示了我作为 SOC Analyst 的操作能力——包括警报分诊、网络流量分析、恶意软件验证,以及以专业严谨的态度记录调查结果。 本 [事件处理日志](https://github.com/leoul07/vulnerability-assessment-small-business-ecommerce/blob/main/Vulnerability-Assessment-Report-Ecommerce-DB.pdf) 包含了所有七篇日志记录的完整结构化文档,涵盖详细描述、5 W's(五个 W)、所用工具、分析师笔记及反思。 ## 📖 项目概述 本项目作为一份详尽的**事件处理日志**,记录了作为专业培训计划一部分而进行的一系列网络安全调查。 它涵盖了完整的事件生命周期——从**初步检测到事后反思**——展示了以下能力: - 建立网络基线 - 识别关键异常 - 执行结构化的、基于证据的事件记录 主要目标是记录技术发现,记录关键要点,并通过使用行业标准安全工具积累实践经验。 本项目模拟了真实的**一级 SOC Analyst 职责**,包括: - 勒索软件事件分诊 - 数据包捕获分析 (*Wireshark, tcpdump*) - 恶意软件哈希调查 (*VirusTotal*) - 使用正式的 playbook 升级处理钓鱼警报 - 审查重大的电商数据泄露报告 - IDS 规则创建与日志分析 (*Suricata*) 每篇日志记录都遵循与行业最佳实践相一致的结构化方法,强化了可重复且专业的事件响应工作流。 ## 🚨 背景问题 安全分析师经常面临碎片化的数据和高压环境,如果不能有效记录技术细节,可能会导致遗漏威胁或违反法规合规要求。本项目旨在解决从初步的、高层次的事件通知,通过结构化日志记录和取证分析,深入到技术验证阶段的挑战。 ## 🎯 主要成果 目标是建立一套严谨、可重复的事件响应工作流。在本项目结束时,我已成功展示了识别恶意文件哈希、拦截并分析实时网络流量,以及配置入侵检测规则以保护组织资产的能力。 ## 📈 影响与利益相关者 对于组织而言——尤其是在医疗保健等高度受监管的行业,且面临像 **BlackTech** 这样复杂的威胁行为者攻击时,此解决方案至关重要。有效的记录和分析可直接保护**受保护健康信息 (PHI)**,确保符合 **HIPAA** 法规要求,从而防止财务损失和数据窃取。 ## 🧰 所用工具与技术 | 类别 | 工具 | |---------|-------| | **网络取证** | Wireshark, tcpdump | | **端点与恶意软件分析** | VirusTotal | | **IDS / 检测工程** | Suricata, 自定义规则 | | **Linux 工具** | Bash, curl, jq, cat, less | | **事件响应** | 钓鱼 IR Playbook, 警报工作流, 最终报告审查 | | **文档记录** | 结构化事件日志方法论 | ## 🛠️ 展示的技能 - 事件分诊与文档记录 - 数据包捕获与协议分析 - 恶意软件哈希调查与 IoC 提取 - 钓鱼调查与升级处理 - Web 应用程序事件理解(强制浏览,数据窃取) - IDS 规则创建与日志分析 - 威胁情报研究 - 基于证据的报告与合规意识 ## 🛡️ 关键事件记录摘要 ### 1️⃣ 勒索软件事件 – 初步分诊 记录了影响美国某医疗诊所的严重勒索软件攻击的首次通知。 **关键发现:** - 勒索软件加密了所有公司文件并显示了勒索便条。 - 攻击媒介:带有恶意附件的**定向钓鱼邮件**。 - 影响:**业务完全停摆**。 - 考量因素包括 HIPAA 报告、备份完整性和遏制验证。 展示了扎实的**初步分诊、合规意识和战略决策**能力。 ### 2️⃣ 数据包捕获分析 (Wireshark) 分析了 `.pcap` 文件以识别通信模式、协议和端点。 **亮点:** - **172.21.224.2** 与 **142.250.1.139 (opensource.google.com)** 之间的流量 - 观察到了 DNS, TCP, ICMP 和 SSH 流量 - 应用了过滤器:`ip.addr`, `udp.port == 53`, `tcp.port == 80` - 提取了 TTL 值和协议元数据 展示了**网络取证基础**和数据包级别的分析能力。 ### 3️⃣ 实时数据包捕获 (tcpdump) 在 Linux 虚拟机上执行实时捕获,过滤 HTTP 流量并使用 `curl` 生成受控流量。 **关键技术操作:** - 捕获了 **9 个** HTTP 流量数据包 - 使用标志:`-nn`, `-c9`, `-x` 以满足 OPSEC、数据最小化和 payload 检查需求 - 分析了 TCP 标志(SYN, PUSH-ACK) - 强化了基线流量意识 展示了对 **tcpdump**、Linux 工具和取证方法论的实操能力。 ### 4️⃣ 恶意软件哈希调查 (VirusTotal) 调查了与恶意电子表格关联的可疑 SHA256 哈希。 **关键发现:** - VirusTotal 确认该文件为**恶意文件(58/71 检出率)** - 恶意软件被识别为 **Flagpro**,与 **BlackTech APT** 有关联 - IoC 包括 MD5 哈希和域名 `org.misecure.com` - 要求采取的行动:隔离主机、封禁 IoC、搜寻持久性和 C2 活动 展示了**威胁情报分析和恶意软件分诊**能力。 ### 5️⃣ 钓鱼事件响应(Playbook 执行) 处理了涉及通过钓鱼邮件传播的恶意可执行文件 (`bfsvc.exe`) 的警报工单 A-2703。 **关键行动:** - 识别出威胁行为者别名 **“Clyde West”** - 验证了恶意附件哈希 - 将工单状态从 *调查中* 更新为 *已升级* - 记录的规避技术:受密码保护的附件 (`paradise10789`) 展示了遵循**结构化 IR playbook 和升级处理程序**的能力。 ### 6️⃣ 最终事件报告审查 - 电商数据泄露 作为一级 SOC Analyst 培训的一部分,审查了针对重大**电商客户数据窃取**事件的**最终事件报告**,重点关注事件生命周期、根本原因和建议。 **关键发现:** - **谁:** 外部攻击者利用了 Web 应用程序漏洞并企图敲诈勒索。 - **什么:** 未经授权访问、收集并窃取了约 **50,000 条客户记录**,其中包含 PII 和财务数据。 - **何时:** 首次可疑活动/勒索企图发生在 **2022 年 12 月 22 日**;事件于 **2022 年 12 月 28 日太平洋时间晚上 7:20** 报告给安全部门。 - **哪里:** 该组织的**电商 Web 应用程序**,具体为**客户购买确认页面**。 - **为什么:** 漏洞允许通过修改 URL 字符串中的订单号进行**强制浏览攻击**。 展示了对**事件生命周期的理解、根本原因分析以及战略补救规划**能力。 ### 7️⃣ Suricata IDS 规则与日志分析 创建并验证了用于检测出站 HTTP GET 请求的自定义 Suricata 规则。 **关键观察:** - 警报由 **172.21.224.2 → 142.250.1.139** 通过 HTTP(端口 80)触发。 - 首次警报时间戳:**11/23/2022 12:38:34**。 - 分析了 `fast.log`(高层次分诊)和 `eve.json`(详细的 JSON 遥测数据)。 - 使用 `jq` 提取了 `flow_id`、严重性、目标 IP 和 HTTP 方法等字段。 展示了 **IDS 调优、特征签名创建和日志关联**能力。 ## 🧠 反思与专业见解 * **方法论纪律:** 始终如一地应用 **5 W's** 确保了技术数据在调查期间保持条理清晰且具有可操作性。 * **操作安全 (OPSEC):** 优先考虑隐蔽性,通过禁用端口名称解析来避免在实时分析中被威胁行为者发现。 * **基线意识:** 认识到熟悉“正常”流量模式(例如标准的 TCP 握手)是识别未授权活动的首要方式。 * **合规侧重:** 将 **HIPAA** 和 **PHI** 相关的考量整合到了针对医疗保健相关泄露事件的事件响应流程中。 ## 📘 完整报告 如需完整的书面事件记录,包括描述、5 W's、所用工具和分析师笔记,请参考: 👉 **[Incident_Handlers_Journal.pdf](https://github.com/leoul07/vulnerability-assessment-small-business-ecommerce/blob/main/Vulnerability-Assessment-Report-Ecommerce-DB.pdf)**
标签:IDS入侵检测, Metaprompt, 威胁情报, 安全运营中心, 库, 应急响应, 应用安全, 开发者工具, 数字取证, 网络映射, 网络流量分析, 自动化脚本