Qwortie/Phishing-tickets

GitHub: Qwortie/Phishing-tickets

一个基于真实 SOC 工作流的网络钓鱼工单日志模板，用于结构化记录与跟踪钓鱼事件的分析与处置。

Stars: 0 | Forks: 0

# 🎫 SOC 网络钓鱼工单日志 ![Status](https://img.shields.io/badge/Status-Active-brightgreen?style=flat-square) ![Tickets](https://img.shields.io/badge/Tickets-4-blue?style=flat-square) ![Framework](https://img.shields.io/badge/Framework-MITRE%20ATT%26CK-B22222?style=flat-square) ![Technique](https://img.shields.io/badge/T1566-Phishing-orange?style=flat-square) 基于 SOC 调查和模拟演练产生的结构化网络钓鱼事件工单日志。每张工单记录一封报告的钓鱼邮件，从初始分类到判决、遏制和升级决策的完整流程——遵循真实的 SOC 分析员工作流程。工单来源于 TryHackMe SOC 调查和家庭实验室模拟。所有 IOC 均按照标准威胁情报实践进行失效化处理。 ## 🔁 分类流程 ``` Email Reported / Alert Triggered ↓ Header Analysis (DKIM / SPF / DMARC) ↓ Attachment + URL Analysis (VirusTotal / sandbox / olevba) ↓ Verdict ↓ ┌───────┴────────┐ │ │ False Positive Phishing Confirmed │ │ Close ticket Quarantine + Block IOCs │ User interaction? │ ┌────────┴────────┐ │ │ No Yes │ │ Close ticket Isolate endpoint Escalate to IR Open IR-XXX report ``` ## 📋 工单索引 | 工单 ID | 主题/诱饵 | 载荷类型 | 判决 | 用户交互 | 是否升级 | 关联事件 | |---|---|---|---|---|---|---| | [PHI-001](./tickets/PHI-001-invoice-lnk.md) | 未付发票 — B Packaging Inc | LNK 封装于加密 ZIP | ✅ 确认钓鱼 | 是 — 打开附件 | 是 | [IR-002](https://github.com/Qwortie/SOC-home-lab/blob/main/docs/incident-reports/IR-002-boogeyman.md) | | [PHI-002](./tickets/PHI-002-resume-macro.md) | 职位申请 — Wesley Taylor | VBA 宏 .doc | ✅ 确认钓鱼 | 是 — 打开附件 | 是 | [IR-002](https://github.com/Qwortie/SOC-home-lab/blob/main/docs/incident-reports/IR-002-boogeyman.md) | | [PHI-003](./tickets/PHI-003-ceo-iso.md) | 定向高管 — ISO 载荷 | ISO 容器 / rundll32 | ✅ 确认钓鱼 | 是 — 打开附件 | 是 | [IR-002](https://github.com/Qwortie/SOC-home-lab/blob/main/docs/incident-reports/IR-002-boogeyman.md) | | [PHI-004](./tickets/PHI-004-follina-invoice.md) | 恶意发票 — CVE-2022-30190 | .doc / MSDT Follina | ✅ 确认钓鱼 | 是 — 打开文档 | 是 | [IR-001](https://github.com/Qwortie/SOC-home-lab/blob/main/docs/incident-reports/IR-001-tempest-full-chain.md) | ## 📊 工单统计 | 指标 | 数值 | |---|---| | 总工单数 | 4 | | 确认钓鱼 | 4 | | 误报 | 0 | | 升级至事件响应 | 4 | | 确认用户交互 | 4 | | 唯一载荷类型 | LNK、VBA 宏、ISO/DLL、MSDT 漏洞利用 | | 唯一 MITRE 技术 | T1566.001、T1059.001、T1059.005、T1218.011、T1203 | ## 📁 仓库结构 ``` phishing-tickets/ ├── README.md # This file — ticket index and workflow ├── templates/ │ └── SOC-TICKET-template.md # Blank reusable ticket template └── tickets/ ├── PHI-001-invoice-lnk.md ├── PHI-002-resume-macro.md ├── PHI-003-ceo-iso.md └── PHI-004-follina-invoice.md ``` ## 🛠️ 所用工具 | 工具 | 用途 | |---|---| | Thunderbird | 用于检查 `.eml` 邮件头和附件的电子邮件客户端 | | MXToolbox | 邮件头分析 — DKIM / SPF / DMARC | | VirusTotal | 文件哈希与 URL 信誉检测 | | Any.run | 动态沙箱引爆 | | olevba (Oletools) | VBA 宏提取与分析 | | LNKParse3 | LNK 文件取证 — 命令行参数提取 | | Wireshark / Tshark | 数据包捕获分析 — C2 流量 | | URLScan.io | URL 引爆与截图 | ## 🔗 相关仓库 - [soc-home-lab](https://github.com/Qwortie/soc-home-lab) — 实验环境 - [incident-response-reports](https://github.com/Qwortie/SOC-Home-Lab/blob/main/docs/incident-reports/README.md) — 完整事件响应报告 - [splunk-detection-rules](https://github.com/Qwortie/splunk-detection-rules) — 用于检测钓鱼载荷的 SPL 规则

标签：Ask搜索, Cloudflare, DKIM, DMARC, IOC, MITRE ATT&CK, OLE/VBA, SPF, T1566, URL分析, VirusTotal, 升级响应, 威胁情报, 安全运营中心, 工作流程, 开发者工具, 模拟攻击, 沙箱, 票务系统, 票证索引, 结构化日志, 网络映射, 邮件安全, 钓鱼, 钓鱼事件, 钓鱼票务, 防御演练, 附件分析, 隔离端点