alberto-nares/soc-incident-response-lab

# SOC 事件响应实验室 ## 概述 本项目模拟了一个涉及执行可疑文件及随后使用自定义 Python 脚本进行检测的 SOC 一级事件。 ## 场景 在一个受控的实验室环境中发现了一个可疑文件（`virus.exe`）。系统在扫描过程中生成了告警，并收集了日志以供分析。 ## 目标 - 模拟真实的安全事件 - 检测可疑文件 - 生成日志作为证据 - 执行基本的 incident 分析 ## 使用的工具 - Python - Windows 10（虚拟机） - 命令提示符（CMD） ## 事件详情 - 可执行文件的检测 - 识别双扩展名技术（`foto.jpg.exe`） - 为审计目的生成日志 ## 证据 所有证据均位于 `INCIDENTE_01` 文件夹中： - 事件报告（`reporte_incidente.md`） - 日志文件（`.txt`） ## 结论 该实验室演示了基本的 SOC 操作，包括在模拟环境中的检测、日志记录和事件文档记录。

标签：AMSI绕过, ESC漏洞, Incident Report, Python, Windows 10, 双扩展名, 可执行文件检测, 威胁检测, 安全实习, 安全运营, 实验室, 审计日志, 扫描框架, 文件扩展名欺骗, 无后门, 日志取证, 检测与响应, 模拟演练, 病毒执行, 网络安全教学, 证据收集