mabdullahkhan-sec/soc-internship-lab-booklet

# SOC 实习实验手册 一份汇总我在 **ITSOLERA**（2026 年 1 月 – 2026 年 4 月）实习期间完成的所有 SOC 实验工作的文档手册。每个实验章节涵盖工具部署、配置、实际用例以及关键发现，结构化为面向 SOC 运营的专业参考。 ## 概述 | 详情 | 信息 | |---|---| | 组织 | ITSOLERA（远程） | | 角色 | SOC 分析师实习生 | | 时长 | 2026 年 1 月 – 2026 年 4 月 | | 格式 | 编译实验手册（PDF） | ## 涵盖的工具与实验 ### 🛡️ Wazuh SIEM - 部署 Wazuh 用于集中日志收集与安全事件监控 - 配置文件完整性监控（FIM），实现对未经授权文件变更的实时告警 - 调整告警规则以提升威胁检测与事件分级能力 ### 🔥 pfSense 防火墙 - 将 pfSense 与 Wazuh SIEM 集成，实现集中网络流量可见性 - 配置防火墙规则、流量过滤与日志管道 ### 🦠 ClamAV + Squid 代理 - 在 pfSense 上部署 ClamAV 防病毒软件与 Squid 代理 - 配置恶意软件下载拦截并集成 Wazuh 告警 ### 🔬 REMnux - 恶意软件分析 - 使用 REMnux 工具包进行静态与动态恶意软件分析 - 将恶意软件行为与指标映射到 MITRE ATT&CK 框架 ### 🔍 Ghidra - 逆向工程 - 使用 Ghidra 进行二进制文件逆向工程与反汇编 - 提取恶意软件样本中的妥协指标（IOCs） ### ⚙️ n8n - SOC 自动化 - 使用 n8n 构建自动化 SOC 告警分级工作流 - 配置实时分类、通知与升级管道 ## 展示的关键概念 - SIEM 部署与规则调优 - 文件完整性监控（FIM） - 网络流量监控与防火墙集成 - 恶意软件分析及 MITRE ATT&CK 映射 - SOC 工作流自动化 - 事件检测与告警分级 ## 文件 | 文件 | 描述 | |---|---| | `SOC_Lab_Booklet.pdf` | 完整的实验手册编译版 | ## 参考的框架 - MITRE ATT&CK - NIST 事件响应生命周期 *完成于 ITSOLERA SOC 分析师实习岗位 · 2026*

标签：ClamAV, Cloudflare, Ghidra, IOC提取, MITRE ATT&CK, n8n, PB级数据处理, PDF报告, pfSense, REmnux, SOC分析师, SOC实习, SOC自动化, Squid代理, Wazuh, Web 安全测试, 二进制分析, 云安全运维, 云资产清单, 反病毒, 告警编排, 威胁映射, 安全运维, 恶意代码分析, 恶意软件防护, 日志收集, 日志集成, 自动化编排, 规则调优, 逆向工程, 配置文件, 防火墙配置