TomerN22/SOC---Final-Project

本仓库包含我在 SOC（安全运营中心）实训项目中的最终项目。 项目的目标是模拟一个安全事件的调查过程，通过分析来自不同来源的日志，识别异常活动，并基于调查过程中发现的线索得出结论。 调查借助 SIEM 工具，特别是 Splunk 系统，使用操作系统中的多种日志进行。

项目目标包括： - 在真实调查环境中锻炼 SOC 分析员的工作能力 - 分析来自系统不同来源的日志 - 识别可疑或异常的活动中 - 调查安全事件并理解事件的关联性 - 基于调查结果得出结论

在项目过程中使用了以下工具和科技： - Splunk（SIEM 平台） - Sysmon - Windows 事件日志 这些工具用于收集、分析和关联来自不同系统来源的数据。

调查过程包括几个主要步骤： 1. 从系统中收集不同来源的日志 2. 使用 Splunk 系统分析事件 3. 在日志中识别可疑或异常的活动 4. 检查非常规的系统进程和运行项 5. 关联不同日志来源的信息 6. 分析发现并就调查事件得出结论

在调查过程中分析了多个日志来源，以识别系统中的异常活动。 分析包括对 Windows 事件日志和 Sysmon 日志的检查，使用 Splunk SIEM 系统。 在调查过程中检查了多个可能的异常活动指示，包括： - 可疑的进程运行 - 非典型的系统活动 - 可能表明系统受到影响的指标（IOC – Indicators of Compromise） 来自不同日志来源的事件被分析并相互关联，以判断它们是合法活动还是潜在的安全事件。 完整的调查过程和详细发现包含在项目文档中，该文档已附加在本仓库中。

完整的项目文档位于本仓库中： **Tomer Naverh - SOC - CSPP98.docx**