tblevins462/incident-triage-investigation

# 端到端事件分级调查 ## 关于本仓库 本项目展示了我从初始告警验证到日志关联、OSINT 丰富、MITRE 映射及最终报告的全套 SOC 调查能力。它反映了真实世界的三级调查工作流程，并展示了我如何分析证据以判断真实阳性与假阳性。 ## 展示的技能 - 事件响应 - 日志分析 - OSINT 丰富 - MITRE ATT&CK 映射 - 威胁情报 - SIEM 调查 - 时间线重建 - 分析性写作与报告 - 多数据源证据关联 ## 概述 本项目是一个完整的安全调查流程，涵盖告警验证、日志分析、丰富、OSINT、MITRE ATT&CK 映射及最终报告。它展示了我独立分级告警、沿多数据源跟踪证据、判断真实阳性与假阳性，并产出符合 SOC 工作流程的清晰专业事件报告的能力。 ## 目标 - 验证并分析安全告警 - 跨多个日志源关联数据 - 使用 OSINT 工具进行丰富 - 将活动映射到 MITRE ATT&CK 技术 - 生成结构化事件报告 ## 工具与技术 - SIEM（Splunk） - Sysmon 日志 - OSINT 工具（VirusTotal、AbuseIPDB、WHOIS） - MITRE ATT&CK 导航器 - Windows 事件日志 ## 调查工作流程 1. 告警验证 – 确认告警合法性并收集初始指标。 2. 日志分析 – 检查 Sysmon、端点和网络日志以寻找支持性证据。 3. 丰富 – 查询外部情报源以验证 IOC。 4. 关联 – 在主机与时间线之间映射活动。 5. MITRE 映射 – 识别相关技术及其对手行为。 6. 最终报告 – 记录发现、影响与建议。 ## 关键发现 - 识别出可疑的进程行为与网络连接。 - 确定该告警是真实阳性还是假阳性。 - 提供可操作的修复步骤。 ## 所学 - 如何构建完整的三级风格调查 - 如何跨多个数据源关联日志 - 如何使用 OSINT 丰富指标 - 如何清晰专业地传达发现 ## 包含文件 - 调查笔记 - 最终事件报告 ## 完整项目文档 你可以在此查看完整的调查报告： https://docs.google.com/document/d/1X3IiRbjqDpIEShJyFSaNd8AB03_U7_bE64gWjpdpyaA/edit

标签：Cloudflare, DAST, ESC4, GitHub, IOC 分析, IP 地址批量处理, MITRE ATT&CK, OSINT, Sysmon, Windows 日志, 企业安全, 入侵调查, 告警验证, 威胁情报, 安全报告, 安全运营, 开发者工具, 恶意软件分析, 扫描框架, 无线安全, 日志关联, 时间线重建, 端到端调查, 网络安全审计, 网络资产管理, 证据关联