bigalfu-tech/SOC-Analyst-Incident-Reports

# SOC 分析师事件响应作品集 本仓库包含 **25 个记录在案的安全事件调查**，展示了以下方面的实战 SOC 技能： - 钓鱼分析 - 恶意软件检测与修复 - 暴力破解和密码喷洒检测 - 侦察与网络监控 - 权限滥用和内部威胁调查 所有案例均遵循**一致的报告格式**： 1. **标题 (Title)** – 事件警报名称和类型 2. **时间 (Time)** – 警报触发的时间 3. **摘要 (Summary)** – 事件的高层概览 4. **分析 (Analysis)** – 技术调查与推理 5. **分类 (Classification)** – 事件类型、严重性、置信度、处置结果（真/假阳性） 6. **建议措施 (Recommendation Action)** – 修复和预防步骤 ## 目录 ### **1. 暴力破解攻击 (Brute Force Attacks)** - [案例 1 – 多次登录失败尝试](brute-force/case-1-multiple-failed-logins.md) - [案例 2 – 检测到密码喷洒](brute-force/case-2-password-spray.md) - [案例 3 – API 认证滥用](brute-force/case-3-api-authentication-abuse.md) - [案例 4 – ATM 管理面板登录失败](brute-force/case-4-atm-admin-login-failures.md) - [案例 5 – 特权账户锁定激增](brute-force/case-5-privileged-account-lockout-spike.md) ### **2. 侦察活动 (Reconnaissance Activity)** - [案例 1 – 内部网络扫描](reconnaissance/case-6-internal-network-scan.md) - [案例 2 – DNS 枚举活动](reconnaissance/case-7-dns-enumeration-activity.md) - [案例 3 – 云元数据探测](reconnaissance/case-8-cloud-metadata-probing.md) - [案例 4 – LDAP 查询激增](reconnaissance/case-9-ldap-query-spike.md) - [案例 5 – 边界外部端口扫描](reconnaissance/case-10-external-port-scanning.md) ### **3. 钓鱼 (Phishing)** - [案例 1 – 可疑邮件链接点击](phishing/case-11-suspicious-email-link.md) - [案例 2 – OAuth 授权同意](phishing/case-12-oauth-consent-grant.md) - [案例 3 – 收件箱规则创建](phishing/case-13-inbox-rule-creation.md) - [案例 4 – 凭据窃取尝试](phishing/case-14-credential-harvesting-attempt.md) - [案例 5 – 可疑附件执行](phishing/case-15-suspicious-attachment-execution.md) ### **4. 恶意软件活动 (Malware Activity)** - [案例 1 – 端点 C2 通信](malware/case-16-endpoint-c2-communication.md) - [案例 2 – 检测到勒索软件行为](malware/case-17-ransomware-behavior.md) - [案例 3 – 可疑 DLL 注入](malware/case-18-suspicious-dll-injection.md) - [案例 4 – 未授权计划任务](malware/case-19-unauthorized-scheduled-task.md) - [案例 5 – 通过 HTTPS 的数据窃取](malware/case-20-data-exfiltration-https.md) ### **5. 权限活动 (Privilege Activity)** - [案例 1 – 检测到权限提升](privilege/case-21-privilege-escalation.md) - [案例 2 – 哈希传递活动](privilege/case-22-pass-the-hash-activity.md) - [案例 3 – Kerberos 票据滥用](privilege/case-23-kerberos-ticket-abuse.md) - [案例 4 – 未授权 GPO 修改](privilege/case-24-unauthorized-gpo-modification.md) - [案例 5 – 服务账户滥用](privilege/case-25-service-account-abuse.md)

标签：SOC分析, 免杀技术, 内部威胁, 子域枚举, 安全工程师, 安全报告, 安全运营中心, 密码喷洒, 密码管理, 库, 应急响应, 插件系统, 暴力破解检测, 案例分析, 渗透测试防御, 漏洞分析, 红队行动, 网络安全, 网络映射, 自定义DNS解析器, 路径探测, 钓鱼攻击分析, 防御加固, 隐私保护