axissecuritylabs/axis-security-soc-lab

# SOC Lab by Axis Security Solutions **免费、基于浏览器的 SOC 分析师培训平台，专为有志于从事网络安全职业的初学者和早期专业人士打造。** 无需安装。无需账户。无后端。不收集数据。打开链接即可开始培训。 🔗 **在线平台：** (https://axissecuritylabs.github.io/axis-security-soc-lab/) ## 概述 SOC Lab 是一个动手实践模拟环境，旨在弥合网络安全认证与真实 SOC 工作之间的差距。大多数初级候选人已经完成了 Security+ 认证、参加了训练营，或者观看了数小时的培训内容——但从未真正对警报进行过分级、丰富过日志，或处理过从遏制到经验教训的完整 IR（事件响应）案例。该平台正是为了填补这一空白。 SOC Lab 由 Axis Security Solutions 构建和维护，它让你经历与在职分析师每个班次所面临的相同的决策过程。每一条警报都需要你阅读原始日志数据、丰富指标、形成假设、做出分级决策并记录你的推理过程。平台会对每一个结果进行指导——包括当你犯错的时候。 所有内容均在你的浏览器中本地运行，使用 localStorage。没有任何数据会离开你的设备。无需账户。无跟踪。 ## 平台架构 单个 HTML 文件。无框架。无构建步骤。无依赖项。将其放入浏览器即可运行。 状态完全通过 localStorage 管理——你的警报决策、案例文件、IR 操作、经验教训草稿和作品集数据会在你设备的会话之间持久保存。清除浏览器存储将重置环境。 ## 功能详解 ### 警报队列 平台的核心。包含 76+ 个涵盖 Tier 1 和 Tier 2 类别的真实警报。每个警报都展示一个原始日志块，模拟你在真实 SIEM（如 Proofpoint、CrowdStrike Falcon、Azure AD、Zscaler、Sysmon 等）中看到的内容。 **每个警报的工作流程：** - 阅读原始日志和关联的模拟日志时间线 - 填写结构化丰富字段：源 IP、目标、主机、用户、进程、分析师备注 - 导航四个选项卡：分级、调查、MITRE + CTI、检测调优 - 做出决策：升级、调查中、误报 或 需监控 - 根据你的决策获得指导，包含 TP/FP 率背景和技术解释 **警报类别包括：** - 网络钓鱼和 BEC（商务电子邮件入侵） - 凭证攻击和身份异常 - 恶意软件执行和编码命令行 - 横向移动和权限提升 - 域控制器攻击和凭证转储 - 勒索软件和数据破坏 - 内部威胁和 DLP（数据防泄漏）违规 - 云配置错误和 IAM 滥用 - C2（命令与控制）信标和 DNS 异常 - 持久化机制 - 威胁情报和 CTI（网络威胁情报）丰富场景 每个警报都包含 MITRE ATT&CK 技术映射、威胁行为者关联、丰富工具指导以及结构化调查清单。 ### 交互式调查清单 每个警报都有一个任务锁定的调查清单。步骤不能通过点击复选框来标记完成——你必须先针对上下文问题写出实质性答案。强制执行最小字符数。完成每一步都会显示一个指导面板，解释为什么该步骤在操作上很重要，以及它揭示了关于攻击的什么信息。 ### 文件查看器 适用的警报包含一个拦截文件选项卡，可打开模拟文件查看器。DLP 警报显示电子表格内容，标记的列按严重程度高亮显示——SSN 字段为 CRITICAL（严重），薪资数据为 HIGH（高）。恶意软件警报显示解码后的 PowerShell 负载，危险函数高亮显示：`DownloadString`、`Invoke-Expression`、`Register-ScheduledTask`。DLP 违规摘要显示在文件下方，并附带针对每个发现的解释。 ### 网络连接图 适用的警报包含一个 SVG 网络图，显示完整的连接路径：源端点 → 代理 → 外部目标，并带有威胁标签、边缘注释、端口/卷数据以及带时间戳的连接时间线。用于地理位置异常身份警报、C2 信标案例和横向移动杀伤链。 ### 事件响应控制台 升级的警报汇入遵循 NIST SP 800-61 框架的完整 IR 生命周期模拟。 **四个阶段，每个阶段均需完成前一阶段才能解锁：** **遏制** — 阻止传播。隔离主机、禁用账户、阻止 IP 和域名、阻止哈希、撤销会话、保存证据。每个操作都记录有时间戳。六个预构建的警报上下文提供推荐的操作集，其中预填充了从警报 IOC 数据中提取的目标。 **根除** — 移除威胁。移除计划任务、轮换 KRBTGT（附带正确的双重重置指导）、重置凭证、应用阻止。推荐的根除步骤针对特定警报。 **恢复** — 恢复运行。所有可逆的遏制操作（主机隔离、账户禁用、IP/域名阻止、哈希阻止）都可以在此阶段通过单击单独撤销。每次撤销都会被记录。受影响主机可用的从镜像重建和打补丁操作。 **经验教训** — 正式的事后文档。六个必填部分，强制执行最小字数统计： - 事件时间线（最少 50 字） - 根本原因分析（40 字） - 检测差距评估（40 字） - 采取的遏制和根除操作（40 字） - 冲突消解备注（30 字 —— 用于记录是否涉及任何合法或授权活动的必填字段） - 建议（40 字） 每次击键都会自动保存草稿。字数统计实时更新。提交受限制——所有六个部分必须达到最小值。提交的报告会出现在作品集构建器中。 **操作日志** — 会话中所有 IR 案例采取的每个操作的带时间戳的连续记录，包括带有删除线的撤销操作。 ### 检测工程实验室 三个完全交互式的引导演示，以及用于编写和调优规则的独立练习选项卡。 **演示 1：Office 宏生成 PowerShell (T1059.001)** 七个步骤。通过多选题识别数据源。指标类型选择（静态 vs 行为 vs 统计）。通过复选框网格覆盖 Office 可执行文件——必须识别所有八个应用程序。TP/TN/FP 场景分类（五个场景）。编写你自己的 Sigma 规则文本区域——最少需要 30 个字符才会显示参考答案。参考答案包含设计决策解释。带有测试结果和 FP 调优决策的调优和部署阶段。 **演示 2：基于 DNS 的 C2 信标（统计检测）** 相同的交互格式。多选题选择 DNS 安全日志作为主要来源。统计指标类型选择，并解释为什么基于 IOC 的 DNS 阻止会失败。多选练习识别六个信标特征（定时规律性、非工作时间活动、新注册域名、单一目标、高熵子域、NXDOMAIN 轮换）。TP/TN/FP 分类，包括 OneDrive 令牌刷新和开发人员测试套件 FP 案例。使用 stddev_interval、domain_age 查找和允许列表逻辑编写你自己的 SPL 规则。 **演示 3：通过计划任务和注册表运行键实现持久化 (T1053.005 / T1547.001)** 相同格式。事件 4698 和 Sysmon 事件 13 数据源选择。基于路径的行为指标类型。复选框练习识别五个用户可写的可疑路径与 System32/Program Files 的对比。TP/TN/FP 分类，包括 SCCM 批量部署、Adobe Run 键和 Chocolatey 包管理器案例。编写你自己的双重 Sigma 规则，涵盖任务和注册表持久化。 ### 威胁狩猎实验室 五个狩猎类别：凭证访问、横向移动、持久化、数据渗出和 C2。每次狩猎都会提出一个假设、带有 Sysmon 事件时间线的关联日志数据，以及需要书面回答的结构化问题。验证提示会在每一步之后显示。 ### 取证实验室 七个选项卡：简介、内存取证、日志分析、YARA 规则编写（八个练习）、网络取证、云取证和自动化。YARA 练习需要编写功能性的规则语法。验证会在标记完成之前检查结构。 ### 端点活动监视器 直接从警报库中提取的八个端点：CORP-WKS-033、WKS-FINANCE-007、DC01、HR-WKS-012、EXEC-WKS-002、SALES-WKS-023、FILE-SVR-01 和 LEGAL-WKS-031。每张卡片显示根据当前警报状态计算的实时状态——当所有相关警报作为误报关闭时，COMPROMISED（已攻陷）端点会清除为 CLEAN（干净），并显示绿色的已解决横幅。可展开的卡片显示可疑进程列表、带时间戳的活动时间线、遏制状态以及打开相关警报模态框的直接链接。 ### 身份仪表板 涵盖所有部门的 47 个用户配置文件。风险评分根据警报状态实时计算——处于活动警报下的配置文件显示红色的 ALERT（警报）状态，警报已解决的配置文件自动清除为 NORMAL（正常）。部门筛选选项卡（12 个部门）与搜索栏组合使用。每张卡片显示角色、账户类型、MFA 方法、典型工作时间、风险指标、分析师上下文备注以及可点击的警报参考。卡片标题上的警报计数徽章使仪表板在展开前即可一目了然。 ### MITRE ATT&CK Navigator 颜色编码的热力图，显示你分级的警报中的技术覆盖范围。每个策略列使用不同的颜色。覆盖的技术以策略颜色高亮显示。显示总覆盖计数。在每个警报模态框内的 MITRE + CTI 选项卡上查看完整的技术详细信息。 ### 工作台和案例文件 四个完整的演示案例文件（两个 T1，两个 T2），展示了完全记录的调查是什么样子的——包括完整的时间线、丰富摘要、IOC 提取、遏制操作和分析师备注。当你处理警报时，你的活动案例会填充在演示案例下方。 ### 作品集构建器 生成格式化的培训活动专业摘要：分级的警报、涵盖的 MITRE 技术、误报识别率、记录的案例文件，以及一段适合 LinkedIn 的段落，你可以将其调整用于你的个人资料或在面试准备对话中使用。 ### 分析师指南 SOC 基础知识参考，涵盖分级方法、升级标准、丰富工具使用、IR 生命周期以及按领域组织的常见面试主题。 ## 警报量和覆盖范围 | 类别 | 数量 | |---|---| | Tier 1 警报 | 46 | | Tier 2 警报 | 30 | | 信息性 / 良性 | 5 | | **总计** | **76+** | 涵盖的 MITRE ATT&CK 技术跨越初始访问、执行、持久化、权限提升、防御规避、凭证访问、发现、横向移动、收集、命令与控制以及影响。 ## 适用人群 **初级候选人**，他们拥有 Security+ 或同等认证但没有专业的 SOC 经验，在面试前需要结构化的动手练习。 **初级分析师**（0 到 2 年），希望在工作时间之外针对其当前角色中不经常看到的警报类型进行刻意练习。 **转行者**，从 IT、网络、服务台或相关领域进入网络安全，他们理解概念但需要建立分析师直觉。 **训练营毕业生**，完成了技术培训，但需要练习训练营经常跳过的文档和决策层。 **网络安全专业的学生**，他们想要比实验室环境更真实的东西。 ## 非适用内容 这不是认证备考工具。它不能替代真实的 SOC 经验。它不模拟实际的网络流量或实时工具。警报日志是真实的但是合成的。目标是建立决策直觉、文档习惯和对分析师工作流程的熟悉度——而不是复制任何特定的供应商产品。 ## 测试版状态 该平台处于公开测试阶段。核心功能稳定。如果你遇到按钮损坏、渲染问题或内容错误，请在此仓库中提交 issue，并提供： - 你在做什么 - 你使用的浏览器和设备 - 你预期的结果与实际发生的结果 我们也欢迎通过 issue 提出功能请求和课程反馈。 ## 构建者 **Axis Security Solutions** 一家网络安全咨询和职业服务公司，为从初级到资深的网络安全专业人士提供简历撰写、LinkedIn 优化、面试准备、劳动力发展培训和入职指导。客户涵盖 SOC、GRC、IAM、DFIR、云和 IT 领域。 由 Ciera Stroman 领导，她是一位在技术领域拥有 8 年以上经验的网络安全专业人士，专攻防御和攻击安全领域。Axis Security Solutions 团队由来自多个学科的资深网络安全专业人士组成，旨在弥合动手网络安全培训和发展的差距。我们的讲师和顾问背景多样，并拥有众多教育荣誉。我们的团队优先使用与当今威胁形势相符的合法资源进行内部培训。 🌐 [axissecuritysolutions.com](https://axissecuritysolutions.com) 在此处与 Ciera 联系：[https://www.linkedin.com/in/cieracstroman/] *“Axis Security Solutions”未获得 CC0 许可，未经书面许可不得用于认可衍生作品或暗示从属关系。* ## 许可证 CC0 1.0 Universal — 公共领域放弃 SOC Lab 平台代码和课程内容已根据 CC0 1.0 放弃至公共。你可以复制、修改、分发和使用该作品，无需请求许可。 **Axis Security Solutions** 名称及相关品牌被排除在此放弃声明之外，仍归其所有者拥有知识产权。 有关完整法律文本，请参阅 LICENSE 文件。

标签：Browser-based, BurpSuite集成, DNS解析, Security+, 作品集构建, 免费工具, 入门级, 前端模拟, 单页应用, 后端开发, 域环境安全, 多模态安全, 安全培训, 安全运营中心, 实战演练, 库, 应急响应, 开源项目, 教育平台, 数字取证, 数据可视化, 无后端, 本地存储, 管理员页面发现, 网络安全, 网络映射, 职业发展, 自动化脚本, 警报分流, 隐私保护