leoul07/Incident-Handlers-Journal
GitHub: leoul07/Incident-Handlers-Journal
一份涵盖勒索软件分诊、网络取证、钓鱼响应和 IDS 规则分析等七类安全事件处置全流程的 SOC 分析师实践日志。
Stars: 0 | Forks: 0
# 📓 事件处理日志

本仓库包含一份详尽的**事件处理日志**,记录了在多个网络安全场景下执行的实际检测、分析和响应工作流。该项目展示了我作为 SOC Analyst 的操作能力——包括警报分诊、网络流量分析、恶意软件验证,以及以专业严谨的态度记录调查结果。
本 [事件处理日志](https://github.com/leoul07/vulnerability-assessment-small-business-ecommerce/blob/main/Vulnerability-Assessment-Report-Ecommerce-DB.pdf) 包含了所有七篇日志记录的完整结构化文档,涵盖详细描述、5 W's(五个 W)、所用工具、分析师笔记及反思。
## 📖 项目概述
本项目作为一份详尽的**事件处理日志**,记录了作为专业培训计划一部分而进行的一系列网络安全调查。
它涵盖了完整的事件生命周期——从**初步检测到事后反思**——展示了以下能力:
- 建立网络基线
- 识别关键异常
- 执行结构化的、基于证据的事件记录
主要目标是记录技术发现,记录关键要点,并通过使用行业标准安全工具积累实践经验。
本项目模拟了真实的**一级 SOC Analyst 职责**,包括:
- 勒索软件事件分诊
- 数据包捕获分析 (*Wireshark, tcpdump*)
- 恶意软件哈希调查 (*VirusTotal*)
- 使用正式的 playbook 升级处理钓鱼警报
- 审查重大的电商数据泄露报告
- IDS 规则创建与日志分析 (*Suricata*)
每篇日志记录都遵循与行业最佳实践相一致的结构化方法,强化了可重复且专业的事件响应工作流。
## 🚨 背景问题
安全分析师经常面临碎片化的数据和高压环境,如果不能有效记录技术细节,可能会导致遗漏威胁或违反法规合规要求。本项目旨在解决从初步的、高层次的事件通知,通过结构化日志记录和取证分析,深入到技术验证阶段的挑战。
## 🎯 主要成果
目标是建立一套严谨、可重复的事件响应工作流。在本项目结束时,我已成功展示了识别恶意文件哈希、拦截并分析实时网络流量,以及配置入侵检测规则以保护组织资产的能力。
## 📈 影响与利益相关者
对于组织而言——尤其是在医疗保健等高度受监管的行业,且面临像 **BlackTech** 这样复杂的威胁行为者攻击时,此解决方案至关重要。有效的记录和分析可直接保护**受保护健康信息 (PHI)**,确保符合 **HIPAA** 法规要求,从而防止财务损失和数据窃取。
## 🧰 所用工具与技术
| 类别 | 工具 |
|---------|-------|
| **网络取证** | Wireshark, tcpdump |
| **端点与恶意软件分析** | VirusTotal |
| **IDS / 检测工程** | Suricata, 自定义规则 |
| **Linux 工具** | Bash, curl, jq, cat, less |
| **事件响应** | 钓鱼 IR Playbook, 警报工作流, 最终报告审查 |
| **文档记录** | 结构化事件日志方法论 |
## 🛠️ 展示的技能
- 事件分诊与文档记录
- 数据包捕获与协议分析
- 恶意软件哈希调查与 IoC 提取
- 钓鱼调查与升级处理
- Web 应用程序事件理解(强制浏览,数据窃取)
- IDS 规则创建与日志分析
- 威胁情报研究
- 基于证据的报告与合规意识
## 🛡️ 关键事件记录摘要
### 1️⃣ 勒索软件事件 – 初步分诊
记录了影响美国某医疗诊所的严重勒索软件攻击的首次通知。
**关键发现:**
- 勒索软件加密了所有公司文件并显示了勒索便条。
- 攻击媒介:带有恶意附件的**定向钓鱼邮件**。
- 影响:**业务完全停摆**。
- 考量因素包括 HIPAA 报告、备份完整性和遏制验证。
展示了扎实的**初步分诊、合规意识和战略决策**能力。
### 2️⃣ 数据包捕获分析 (Wireshark)
分析了 `.pcap` 文件以识别通信模式、协议和端点。
**亮点:**
- **172.21.224.2** 与 **142.250.1.139 (opensource.google.com)** 之间的流量
- 观察到了 DNS, TCP, ICMP 和 SSH 流量
- 应用了过滤器:`ip.addr`, `udp.port == 53`, `tcp.port == 80`
- 提取了 TTL 值和协议元数据
展示了**网络取证基础**和数据包级别的分析能力。
### 3️⃣ 实时数据包捕获 (tcpdump)
在 Linux 虚拟机上执行实时捕获,过滤 HTTP 流量并使用 `curl` 生成受控流量。
**关键技术操作:**
- 捕获了 **9 个** HTTP 流量数据包
- 使用标志:`-nn`, `-c9`, `-x` 以满足 OPSEC、数据最小化和 payload 检查需求
- 分析了 TCP 标志(SYN, PUSH-ACK)
- 强化了基线流量意识
展示了对 **tcpdump**、Linux 工具和取证方法论的实操能力。
### 4️⃣ 恶意软件哈希调查 (VirusTotal)
调查了与恶意电子表格关联的可疑 SHA256 哈希。
**关键发现:**
- VirusTotal 确认该文件为**恶意文件(58/71 检出率)**
- 恶意软件被识别为 **Flagpro**,与 **BlackTech APT** 有关联
- IoC 包括 MD5 哈希和域名 `org.misecure.com`
- 要求采取的行动:隔离主机、封禁 IoC、搜寻持久性和 C2 活动
展示了**威胁情报分析和恶意软件分诊**能力。
### 5️⃣ 钓鱼事件响应(Playbook 执行)
处理了涉及通过钓鱼邮件传播的恶意可执行文件 (`bfsvc.exe`) 的警报工单 A-2703。
**关键行动:**
- 识别出威胁行为者别名 **“Clyde West”**
- 验证了恶意附件哈希
- 将工单状态从 *调查中* 更新为 *已升级*
- 记录的规避技术:受密码保护的附件 (`paradise10789`)
展示了遵循**结构化 IR playbook 和升级处理程序**的能力。
### 6️⃣ 最终事件报告审查 - 电商数据泄露
作为一级 SOC Analyst 培训的一部分,审查了针对重大**电商客户数据窃取**事件的**最终事件报告**,重点关注事件生命周期、根本原因和建议。
**关键发现:**
- **谁:** 外部攻击者利用了 Web 应用程序漏洞并企图敲诈勒索。
- **什么:** 未经授权访问、收集并窃取了约 **50,000 条客户记录**,其中包含 PII 和财务数据。
- **何时:** 首次可疑活动/勒索企图发生在 **2022 年 12 月 22 日**;事件于 **2022 年 12 月 28 日太平洋时间晚上 7:20** 报告给安全部门。
- **哪里:** 该组织的**电商 Web 应用程序**,具体为**客户购买确认页面**。
- **为什么:** 漏洞允许通过修改 URL 字符串中的订单号进行**强制浏览攻击**。
展示了对**事件生命周期的理解、根本原因分析以及战略补救规划**能力。
### 7️⃣ Suricata IDS 规则与日志分析
创建并验证了用于检测出站 HTTP GET 请求的自定义 Suricata 规则。
**关键观察:**
- 警报由 **172.21.224.2 → 142.250.1.139** 通过 HTTP(端口 80)触发。
- 首次警报时间戳:**11/23/2022 12:38:34**。
- 分析了 `fast.log`(高层次分诊)和 `eve.json`(详细的 JSON 遥测数据)。
- 使用 `jq` 提取了 `flow_id`、严重性、目标 IP 和 HTTP 方法等字段。
展示了 **IDS 调优、特征签名创建和日志关联**能力。
## 🧠 反思与专业见解
* **方法论纪律:** 始终如一地应用 **5 W's** 确保了技术数据在调查期间保持条理清晰且具有可操作性。
* **操作安全 (OPSEC):** 优先考虑隐蔽性,通过禁用端口名称解析来避免在实时分析中被威胁行为者发现。
* **基线意识:** 认识到熟悉“正常”流量模式(例如标准的 TCP 握手)是识别未授权活动的首要方式。
* **合规侧重:** 将 **HIPAA** 和 **PHI** 相关的考量整合到了针对医疗保健相关泄露事件的事件响应流程中。
## 📘 完整报告
如需完整的书面事件记录,包括描述、5 W's、所用工具和分析师笔记,请参考:
👉 **[Incident_Handlers_Journal.pdf](https://github.com/leoul07/vulnerability-assessment-small-business-ecommerce/blob/main/Vulnerability-Assessment-Report-Ecommerce-DB.pdf)**
📌 目录(点击展开)
- [📖 项目概述](#-project-overview) - [🚨 背景问题](#-the-problem) - [🎯 主要成果](#-main-outcome) - [📈 影响与利益相关者](#-impact--stakeholders) - [🧰 所用工具与技术](#-tools--technologies-used) - [🛠️ 展示的技能](#%EF%B8%8F-skills-demonstrated) - [🛡️ 关键事件记录摘要](#%EF%B8%8F--summary-of-key-incident-entries) * [1️⃣ 勒索软件事件 – 初步分诊](#1️⃣-ransomware-incident--initial-triage) * [2️⃣ 数据包捕获分析 (Wireshark)](#2️⃣-packet-capture-analysis-wireshark) * [3️⃣ 实时数据包捕获 (tcpdump)](#3️⃣-live-packet-capture-tcpdump) * [4️⃣ 恶意软件哈希调查 (VirusTotal)](#4️⃣-malware-hash-investigation-virustotal) * [5️⃣ 钓鱼事件响应(Playbook 执行)](#5️⃣-phishing-incident-response-playbook-execution) * [6️⃣ 最终事件报告审查 - 电商数据泄露](#incident-6) * [7️⃣ Suricata IDS 规则与日志分析](#7️⃣-suricata-ids-rule--log-analysis) - [📘 完整报告](#-full-report)标签:IDS入侵检测, Metaprompt, 威胁情报, 安全运营中心, 库, 应急响应, 应用安全, 开发者工具, 数字取证, 网络映射, 网络流量分析, 自动化脚本