agizopacifique-beep/SOC-analyst-portfolio

# 嗨，我是 Agizo Pacifique 我是一名网络安全专业人士，居住在佛罗里达州坦帕，目前正在完成网络安全学士学位，并致力于获得首个 SOC 分析员职位。我持有有效的 CompTIA Security+ 认证，业余时间在我的家庭实验室中进行搭建和破坏实验。 这个仓库是我记录这些工作的场所。这里的每一个实验都是我实际运行过的——我发起攻击、捕获证据、追踪日志，并记录我的发现。没有 CTF 编写，没有演练教程。只是在真实的（虚拟）网络上进行真实的检测工作。 ## 我为什么要搭建这个实验室 我想要从两个角度理解安全。阅读关于暴力破解攻击如何工作是回事；而当 Hydra 仍在另一个窗口运行时，实时看到 847 个 Event ID 4625 条目涌入 Security Onion，则是完全不同的事情。这就是我在这里努力构建的理解。 该实验室运行在一台我购买的 HP EliteDesk 800 G4 Mini 上，配备 32 GB 内存。四台虚拟机，全部运行在隔离的主机仅网络（Host-Only）中，因此不会泄露到我的实际家庭网络。Kali 作为攻击者。Windows 和 Ubuntu 被攻击。Security Onion 捕获并分析。我负责调查。 ## 实验室搭建 | 机器 | 角色 | IP | 内存 | |---|---|---|---| | Security Onion 2.4 | SIEM + IDS（Suricata、Zeek、Wazuh Manager） | 192.168.56.10 | 8 GB | | Kali Linux | 攻击者 + Splunk | 192.168.56.30 | 4 GB | | Windows 10 Pro | 主要目标（Sysmon + Wazuh 代理） | 192.168.56.20 | 4 GB | | Ubuntu Server 22.04 | 次要目标（Wazuh 代理） | 192.168.56.40 | 2 GB | **主机：** HP EliteDesk 800 G4 — i5-8500T 六核 — 32 GB 内存 — 1 TB NVMe — Windows 11 Pro **网络：** VirtualBox 主机仅网络 192.168.56.0/24 — 完全隔离，不连接互联网 查看网络图：[05-home-lab/network-diagram.md](05-home-lab/network-diagram.md) ## 这里有什么 | 文件夹 | 包含内容 | |---|---| | `01-siem-investigations/` | 端口扫描与暴力破解检测 — Suricata 告警、SPL 查询、自定义 Wazuh 规则 | | `02-network-analysis/` | Wireshark PCAP 分析 — 明文 FTP 文件传输 | | `03-phishing-analysis/` | 完整钓鱼流程 — 邮件头、IOC 增强、SPF/DKIM/DMARC、判决 | | `04-incident-reports/` | 反弹 shell、横向移动、数据泄露 — 完整的 PICERL 报告与时间线 | | `05-home-lab/` | 实验室搭建、虚拟机规格和 Mermaid 网络图 | | `06-cloud-detection/` | AWS CloudTrail — 失败的登录尝试、未经授权的 IAM 用户创建、访问密钥预演 | | `07-detection-engineering/` | 自定义 Wazuh 规则 100001（XML）和 PsExec 的 Sigma 规则（YAML） | | `08-threat-intel/` | IOC 增强日志 — 每个实验中的所有指标均通过 VirusTotal、AbuseIPDB、OTX 进行验证 | | `09-python-automation/` | 两个 Python 脚本：IOC 提取器和 VirusTotal 增强器 | | `10-certifications/` | Security+、Splunk 基础 1、TryHackMe SOC 一级路径 | ## 已完成实验 | # | 实验 | 关键发现 | 状态 | |---|---|---|---| | 1 | 端口扫描检测 | Suricata 签名和行为 SPL 查询均捕获了 nmap 扫描 | 进行中 | | 2 | 暴力破解检测 | 编写了 Wazuh 规则 100001 — 在 60 秒内第 10 次失败登录即触发 | 进行中 | | 3 | 反弹 shell / C2 | 在 Sysmon 中追踪到 shell.exe 启动 cmd.exe，该父子进程链是关键线索 | 进行中 | | 4 | 横向移动 | 关联 Event ID 4648、4624 类型 3 和 7045，确认使用了 PsExec | 进行中 | | 5 | 数据泄露 | 在 Wireshark 中跟进 FTP TCP 流，发现明文中的 SSN 和卡号 | 进行中 | | 6 | AWS 云检测 | 捕获失败的浏览器登录尝试、未经授权的 IAM 用户创建以及访问密钥预演 | 进行中 | | 7 | 钓鱼分析 | SPF 失败、DKIM 失败、90 款引擎中有 45 款命中、AbuseIPDB 评分 87% — 判定为恶意 | 进行中 | | 8 | 威胁情报增强 | 通过 VirusTotal、AbuseIPDB 和 OTX 对实验 1-7 的所有 IOC 进行了增强 | 进行中 | ## 技能 | 领域 | 工具 | 查看位置 | |---|---|---| | SIEM 分析 | Security Onion、Splunk SPL | 实验 1-2 | | 网络分析 | Wireshark、tcpdump、Zeek、Suricata | 实验 5 | | 终端检测 | Sysmon、Wazuh、Windows 事件日志 | 实验 3-4 | | 事件响应 | 完整的 PICERL 方法论和时间线 | 实验 3-5 | | 钓鱼分析 | MXToolbox、UrlScan.io、PhishTool、VirusTotal | 实验 7 | | 威胁情报 | VirusTotal、AbuseIPDB、AlienVault OTX | 实验 8 | | 检测工程 | 自定义 Wazuh XML 规则、Sigma YAML | 实验 2、4 | | 云安全 | AWS CloudTrail、CloudWatch Logs Insights | 实验 6 | | Python | IOC 提取与 VirusTotal API 增强脚本 | 09-python-automation/ | ## 认证 - CompTIA Security+ — 有效 - Splunk Core Fundamentals 1 — 进行中（splunk.com/training — 免费） - TryHackMe SOC Level 1 Path — 进行中 联系 - 邮箱：agizopacifique@gmail.com - 电话：(727) 439-7012 - 地点：坦帕，佛罗里达州

标签：AMSI绕过, BurpSuite集成, Cybersecurity Lab, Home Lab, Metaprompt, PoC, Rootkit, Security Onion, Suricata, Sysmon, Ubuntu Server, Wazuh, Windows 10, Zeek, 主机隔离网络, 事件ID 4625, 威胁检测, 安全运营中心, 实验环境, 技能提升, 数字取证, 数据统计, 日志取证, 暴力破解, 检测规则, 现代安全运营, 生成式AI安全, 端口扫描, 网络安全, 网络映射, 网络资产发现, 网络隔离, 职业发展, 自动化脚本, 虚拟机, 逆向工具, 隐私保护