sg4471382-lang/cyart_soc_teamm

# 任务 7 - SOC 告警管理与事件响应 ## 概述 本报告概述了完整的 SOC 事件响应工作流程，涵盖告警管理、取证保存到威胁分类。它最终通过一项实践性综合演练，展示了如何使用行业标准化工具进行实时攻击检测与遏制。 ## 目标 - 理解告警优先级 - 使用 MITRE ATT&CK 对安全事件进行分类 - 执行告警分类与调查 - 记录事件响应流程 - 模拟真实世界安全事件 ## 主题 - 告警优先级级别 - 事件分类 - 事件响应生命周期 - 告警管理 - 告警分类 - 威胁情报 - 证据保全 - 综合演练项目 ## 工具 - Wazuh - TheHive - VirusTotal - AlienVault OTX - Google Docs - Draw.io - Metasploit - CrowdSec - GitHub ## 工作流程 告警生成 → 告警分类 → 事件分类 → 调查 → 遏制 → 根除 → 恢复 → 文档记录 → 经验总结 ## 综合演练项目总结 该综合演练项目通过利用 Metasploit 在 Metasploitable2 目标上利用 vsftpd 2.3.4 后门，模拟了完整的攻击生命周期。Wazuh 实时成功检测到此次妥协，随后通过 CrowdSec 立即遏制攻击者 IP。演练最终产出了详细的技术事件报告和非技术利益相关者简报，以阐明响应流程与缓解策略。 ## 结论 本项目成功展示了安全运营中心（SOC）事件响应方法的全面且实际应用。通过结合理论知识与工具集成，构建了一个利用 Wazuh、TheHive 和 CVSS v3.1 评分进行告警优先级划分与管理的稳健流程。它验证了使用 VirusTotal 和 AlienVault OTX 等情报平台进行威胁分类的能力，并强调了使用 Velociraptor 和 FTK Imager 进行严格的取证证据保全以维护可验证的取证链。最终，综合演练成功实时检测并遏制了 live vsftpd 后门利用，并以专业的文档记录和利益相关者汇报收尾。 ## 📌 重要说明 项目时间线：请注意，内部项目文件中存在关于日期的拼写错误。官方记录显示，该 SOC 综合演练项目及其对应的代码库于 10/04/2026 正式建立。 # 作者 * SAWAN GUPTA * 实习生 - https://www.cyart.io * 领域 - 安全运营中心（SOC） * LinkedIn - www.linkedin.com/in/sawan-gupta-8817sg * 日期 - 10/04/2026

标签：Ask搜索, Capstone项目, CIDR查询, Cloudflare, Containment, CrowdSec, CVSS v3.1, DNS通配符暴力破解, Eradication, Metasploitable2, MITRE ATT&CK, Recovery, TGT, TheHive, TheHive案例, VirusTotal, vsftpd后门, Wazuh, 事件分类, 优先级, 取证, 取证保全, 告警分级, 告警管理, 威胁情报, 安全报告, 安全演练, 安全运营中心, 实时检测, 开发者工具, 攻防演练, 网络映射, 调查演练, 非技术干系人通报