oluwakemibankole-sec/soc-analyst-lab-threat-detection
GitHub: oluwakemibankole-sec/soc-analyst-lab-threat-detection
一套面向 SOC 分析师的威胁检测与事件响应实操实验仓库,通过模拟真实安全场景展示从日志分析到事件报告的标准化调查流程。
Stars: 0 | Forks: 0
# 🛡️ SOC 分析师实验 – 威胁检测与事件响应
## 项目概述
本仓库通过模拟威胁检测、日志分析、钓鱼攻击调查、IOC 提取、MITRE ATT&CK 映射以及事件响应文档,展示了 SOC 分析师的实操技能。
## 目标
- 检测暴力破解登录尝试
- 调查可疑的 PowerShell 活动
- 分析钓鱼指标
- 提取 IOC
- 将活动映射到 MITRE ATT&CK
- 将调查结果记录在事件报告中
🚨 用例 1:暴力破解登录检测
### 场景
本案例模拟了针对 Windows 终端的疑似暴力破解攻击。
### 检测证据
- 反复出现的 Event ID 4625 登录失败
- 同一账户被多次锁定
- 高频身份验证失败
- 疑似密码喷洒模式
## 📸 登录失败调查证据
### 调查工作流
1. 检查 Windows 安全日志
2. 识别反复出现的登录失败尝试
3. 检查随后是否有登录成功
4. 关联时间戳和源系统
5. 如果怀疑凭据已泄露则进行升级处理
## 使用的工具
- Windows Event Viewer
- PowerShell 日志
- Sysmon
- VirusTotal
- Wireshark
- MITRE ATT&CK
- Kali Linux
- Splunk (可选)
## 用例
1. 暴力破解登录检测
2. 可疑的 PowerShell 活动
3. 钓鱼邮件分析
## 仓库结构
- `images/` → 截图和证据
- `logs/` → 导出的日志或文本样本
- `detection-rules/` → 检测逻辑和分析师笔记
- `incident-reports/` → 调查报告
- `mitre-mapping/` → MITRE ATT&CK 技术映射
## 展示的核心技能
- 日志分类
- 事件关联
- IOC 提取
- 威胁调查
- 事件文档编写
- 安全报告
## 🖥️ Event Viewer 概览
### 登录失败事件
### 登录失败事件详情
## 📸 可疑 PowerShell 调查证据
### PowerShell 日志概览
### PowerShell 事件日志
### PowerShell 事件详情
## 📸 钓鱼 IOC 调查证据
### 可疑邮件
### IOC 提取
### 威胁情报验证
标签:AI合规, AMSI绕过, Ask搜索, BurpSuite集成, IOC提取, MITRE ATT&CK映射, PowerShell监控, SOC分析师, Suspicious PowerShell, Sysmon, VirusTotal, Windows安全日志, Wireshark, 事件ID 4625, 事件关联分析, 事件查看器, 事件调查, 免杀技术, 凭据泄露, 句柄查看, 失败登录审计, 威胁情报, 威胁检测, 安全事件响应, 安全分析与调查, 安全实验, 安全实验室, 安全报告撰写, 安全运营中心, 密码喷洒, 库, 应急响应, 开发者工具, 恶意代码分析, 攻击溯源, 数字取证, 暴力破解检测, 漏洞修复, 红队行动, 网络安全培训, 网络映射, 网络钓鱼分析, 自动化脚本, 配置文件, 项目文档