KshBlitz/SOC-Investigation-CaseFiles

# SOC-Case-Investigation 一个结构化的 **20天SOC模拟项目**，旨在使用 Microsoft Sentinel 和 Microsoft 安全套件开发和展示真实的 **安全运营中心（SOC）调查能力**。 该项目聚焦 **端到端的事件处理**，涵盖从检测、分级研判、深入调查到检测工程改进的完整流程，模拟真实企业 SOC 的工作流。 ## 📌 项目概述 SOC-Case-Investigation 包含 **20个完整的事件模拟案例**，每个案例代表企业环境中独特的攻击场景。 每个案例采用 **叙事驱动的格式**，模拟真实 SOC 分析师的运作方式——包括决策、不确定性、升级流程以及基于证据的结论。 项目遵循一致的 SOC 结构： - L1 分析师 → 告警分级与升级 - L2 分析师 → 深入调查与关联分析 - L3 工程师 → 检测调优与规则改进 ## 🎯 目标 - 培养 **SOC L2 级别调查能力** - 实践 **以证据驱动的事件分析** - 构建 **基于 KQL 的威胁狩猎与日志关联** 专长 - 模拟 **真实的 SOC 工作流、SLA 与升级路径** - 创建一套 **面向调查的实际案例研究合集** ## 📂 仓库结构 每个目录代表一天及一个独立事件： - Day01_BruteForce_AzureAD/ - Day02_Phishing_CredentialTheft/ - Day03_PassTheHash_LateralMovement/ - Day04_InsiderThreat_DataExfiltration/ - Day05_MacroMalware_Execution/ - Day06_RansomwarePrecursor_ShadowCopyDeletion/ - Day07_PrivilegeEscalation_TokenImpersonation/ - Day08_C2Beaconing_HTTPS/ - Day09_BEC_CEOFraud/ - Day10_Persistence_ScheduledTask/ - Day11_CloudPrivilegeEscalation_AzureIAM/ - Day12_DNSTunneling_Exfiltration/ - Day13_FilelessAttack_PowerShellCradle/ - Day14_VPNTakeover_ImpossibleTravel/ - Day15_SupplyChain_ThirdPartyToolAbuse/ - Day16_Kerberoasting_Attack/ - Day17_LOLBins_FilelessExecution/ - Day18_MFAFatigue_AccountTakeover/ - Day19_LDAPEnumeration_Recon/ - Day20_FullKillChain_Capstone/ ## 🧩 案例研究结构 每个案例遵循标准化的 **8个部分** 格式： 1. **事件头部** – 元数据、严重等级与分析员指派 2. **客户与环境上下文** – 企业基础设施概览 3. **攻击叙事** – 攻击者视角（攻击执行） 4. **检测与告警** – Sentinel 规则逻辑与触发条件 5. **L1 分级研判** – 初步分析与升级决策 6. **L2 深入调查** – 包含 KQL 查询、时间线与 IOC 分析 7. **L3 检测调优** – 检测缺口识别与规则改进 8. **最终事件报告** – 技术与执行摘要 ## 🛠️ 技术与栈 - **SIEM**：Microsoft Sentinel - **EDR**：Microsoft Defender for Endpoint - **身份安全**：Microsoft Defender for Identity、Entra ID - **邮件安全**：Microsoft Defender for Office 365 - **云**：Azure Activity Logs、Azure AD Logs - **查询语言**：KQL（Kusto Query Language） ## 🔍 使用数据源 - `SigninLogs` - `SecurityEvent` - `DeviceProcessEvents` - `DeviceNetworkEvents` - `IdentityLogonEvents` - `AzureActivity` - `EmailEvents` - `DnsEvents` - `OfficeActivity` ## 🧠 调查重点领域 - 身份验证攻击（暴力破解、MFA 疲劳、不可能旅行） - 钓鱼与凭证窃取 - 端点攻击（PowerShell、LOLBins、恶意执行） - 横向移动（Pass-the-Hash、Kerberoasting） - 权限提升技术 - 持久化机制（计划任务、令牌滥用） - 数据渗出（DNS 隧道、云访问） - 云 IAM 滥用与服务主体 compromise ## 🧪 方法论 每个事件均作为 **真实调查场景** 处理： - 在 Microsoft Sentinel 中分析告警 - 基于 **KQL 查询** 形成并验证假设 - 跨多个遥测源收集证据 - 逐步重建攻击时间线 - 提取并丰富妥协指标（IOC） - 映射攻击者行为至 **MITRE ATT&CK 技术** - 识别并改进检测缺口 ## 🚀 关键成果 本项目展示以下能力： - 执行 **端到端 SOC 调查** - 在 **端点、身份与云环境** 间关联日志 - 构建与分析 **攻击时间线** - 应用 **MITRE ATT&CK 映射** 进行结构化分析 - 使用 **KQL 开发与分析检测规则** - 通过 **技术报告与执行摘要** 传达发现 ## 📎 说明 - 所有场景均 **用于教育目的模拟** - 旨在反映 **真实 SOC 运营与分析师工作流** - 聚焦 **以调查为导向的实践学习**，而非纯理论研究

标签：Detection Tuning, Escalation, Incident Handling, KQL, Log Correlation, Microsoft Security, Microsoft Sentinel, Security Operations, Triage, 事件调查, 企业安全, 威胁情报, 安全模拟, 安全运营中心, 开发者工具, 攻击时间线重建, 日志关联, 案例研究, 端对端事件分析, 网络映射, 网络资产管理, 调查流程