techByMarcus/soc-analyst-portfolio

# SOC 分析师实验 本仓库包含专注于真实攻击场景、日志分析和威胁检测的动手实践 SOC（安全运营中心）调查。 ## 🔍 实验 1：暴力破解攻击调查 ### 🎯 目标 识别并分析重复的失败登录尝试，以检测潜在的暴力破解活动。 ### 🛠 使用的工具 - Splunk（实验环境） - Windows 事件日志 ### 🧪 场景 在短时间内观察到大量失败的登录尝试。目标是确定该活动是否代表暴力破解攻击。 ### 🔎 调查步骤 - 审查身份验证日志中的失败登录事件 - 识别来自单个 IP 地址的重复登录尝试 - 关联时间戳以识别攻击模式 - 分析受影响的用户账户 ### 🚨 发现 - 检测到多次失败的登录尝试 - 活动源自单个 IP 地址 - 模式与暴力破解行为一致 ### 🛡 响应 / 缓解 - 建议阻止源 IP 地址 - 实施账户锁定策略 - 启用多因素身份验证 (MFA) ### 📌 展示的技能 - 日志分析 - 威胁检测 - 事件调查 - SIEM 使用 (Splunk) ## 🔍 实验 2：可疑登录活动 ### 🎯 目标 检测并分析可能表明未授权访问的异常登录行为。 ### 🛠 使用的工具 - SIEM（实验环境） - 日志分析工具 ### 🧪 场景 在正常工作时间之外检测到登录活动。目标是确定该活动是合法的还是潜在恶意的。 ### 🔎 调查步骤 - 审查登录时间戳和用户活动 - 识别在正常工作时间之外发生的登录 - 调查源 IP 地址和位置 - 将活动与基线用户行为进行对比 ### 🚨 发现 - 登录尝试发生在异常时间 - 访问源自不熟悉的位置 - 活动与正常用户行为不一致 ### 🛡 响应 / 缓解 - 建议验证用户活动 - 强制执行 MFA - 监控账户是否有进一步的可疑行为 ### 📌 展示的技能 - 行为分析 - 威胁检测 - 日志关联 - 事件分流 ## 🔍 实验 3：网络钓鱼邮件调查 ### 🎯 目标 分析可疑邮件以确定其是否为网络钓鱼尝试。 ### 🛠 使用的工具 - 邮件头分析 - URL 检查 - 基本威胁分析技术 ### 🧪 场景 用户报告收到一封要求紧急验证账户的邮件。该消息包含一个链接，且似乎来自受信任的来源。 ### 🔎 调查步骤 - 审查发件人电子邮件地址是否存在欺骗迹象 - 分析邮件内容中的紧迫性和社会工程学策略 - 检查嵌入链接是否存在可疑或不匹配的域名 - 检查是否存在异常的格式、拼写或语法问题 ### 🚨 发现 - 发件人地址可疑，与合法域名不匹配 - 邮件包含旨在向用户施压的紧迫性语言 - 链接重定向到非合法网站 ### 🛡 响应 / 缓解 - 建议用户不要点击该链接 - 将邮件报告为网络钓鱼 - 建议进行安全意识培训 - 建议实施邮件过滤规则 ### 📌 展示的技能 - 网络钓鱼检测 - 邮件分析 - 威胁识别 - 事件响应

标签：AMSI绕过, CCTV/网络接口发现, MFA, PB级数据处理, PoC, Windows日志, 威胁检测, 子域枚举, 安全培训, 安全运维, 安全运营中心, 实战实验室, 异常行为检测, 暴力破解, 红队行动, 网络安全, 网络映射, 身份认证安全, 速率限制, 隐私保护