BhanuRaipally/SOC-Analyst-Resources

# SOC 分析师资源 🔍 SOC 分析师学习资料、参考文档和笔记的综合集合。 ## 📁 目录 - MITRE ATT&CK 笔记 - Windows Event ID 参考 - Splunk SPL 查询 - 应急响应检查清单 - SOC 分析师日常任务 ## 🧠 MITRE ATT&CK 框架 | 战术 (Tactic) | 描述 | 示例 | |--------|-------------|---------| | 侦察 (Reconnaissance) | 收集目标信息 | 端口扫描 | | 初始访问 (Initial Access) | 进入系统 | 钓鱼攻击 | | 执行 | 运行恶意代码 | PowerShell | | 持久化 | 保持访问权限 | 注册表键值 | | 权限提升 | 获取更高权限 | Token 冒用 | | 防御规避 | 躲避检测 | 清除日志 | | 横向移动 | 在网络内部移动 | Pass the hash | | 数据窃取 | 窃取数据 | 数据压缩 | ## 📋 Windows Event ID 参考 | Event ID | 描述 | 重要性 | |----------|-------------|--------------| | 4624 | 登录成功 | 监控异常登录 | | 4625 | 登录失败 | 暴力破解指标 | | 4648 | 使用显式凭据登录 | Pass-the-hash | | 4688 | 创建新进程 | 恶意进程 | | 4698 | 创建计划任务 | 持久化 | | 4720 | 创建用户账户 | 未授权账户 | | 4732 | 用户被添加到组 | 权限提升 | | 7045 | 安装新服务 | 恶意软件安装 | ## 🔍 Splunk SPL 查询 ### 检测登录失败 index=windows EventCode=4625 | stats count by src_ip, user | where count > 5 | sort -count ### 检测新进程创建 index=windows EventCode=4688 | table _time, ComputerName, New_Process_Name ## ✅ 应急响应检查清单 ### 阶段 1 — 准备 - [ ] 确保 SIEM 已配置 - [ ] 维护资产清单 - [ ] 定义升级流程 ### 阶段 2 — 检测 - [ ] 监控 SIEM 告警 - [ ] 识别失陷指标 - [ ] 将告警分类为真/假阳性 ### 阶段 3 — 遏制 - [ ] 隔离受影响系统 - [ ] 封禁恶意 IP/域名 - [ ] 保留证据 ### 阶段 4 — 根除 - [ ] 移除恶意软件 - [ ] 修补漏洞 - [ ] 重置受损凭据 ### 阶段 5 — 恢复 - [ ] 从备份还原系统 - [ ] 监控再次感染 - [ ] 恢复正常运营 ### 阶段 6 — 经验总结 - [ ] 记录事件时间线 - [ ] 识别检测漏洞 - [ ] 更新 Playbook ## 📚 参考资料 - [MITRE ATT&CK](https://attack.mitre.org) - [Azure Sentinel 文档](https://docs.microsoft.com/azure/sentinel) - [Splunk 文档](https://docs.splunk.com)

标签：AMSI绕过, Cloudflare, Event ID, IR, MITRE ATT&CK, PE 加载器, SOC分析师, SPL查询, Windows日志, 威胁检测, 子域名变形, 学习资料, 安全教育, 安全笔记, 安全运营中心, 应急预案, 数字取证, 日常任务, 网络安全, 网络映射, 自动化脚本, 防御矩阵, 隐私保护