Priya1364/soc-threat-hunting-incident-response

## SOC 威胁狩猎与事件响应 目标 模拟真实的网络攻击，并展示 SOC 分析师技能，包括网络流量分析、日志分析、SIEM 监控、网络钓鱼检测和事件响应。 项目概述 本项目将多种网络安全技术整合到一个单一的 SOC 工作流中。它演示了组织如何使用各种工具和分析方法来检测和响应基于网络钓鱼的攻击。 攻击场景 一场网络钓鱼攻击针对某组织，其员工收到了伪装成来自银行的虚假电子邮件。 电子邮件中包含恶意链接。点击后，攻击者尝试进行未经授权的访问，导致多次登录失败并触发 SIEM 警报。 事件时间线 10:00 AM – 收到网络钓鱼邮件 10:05 AM – 用户点击恶意链接 10:06 AM – 检测到登录失败尝试 10:07 AM – 触发 SIEM 警报 10:10 AM – 开始 SOC 调查 10:20 AM – 实施遏制措施 ## 阶段 1：检测 发现可疑网络钓鱼邮件 检测到虚假域名 观察到恶意链接 多次登录失败尝试 生成 SIEM 警报 ## 阶段 2：分析 电子邮件域名不匹配 可疑的 URL 结构 暴力破解登录尝试 SIEM 警报确认异常 ## 阶段 3：遏制 移除网络钓鱼电子邮件（模拟） 封禁恶意域名 限制 URL 访问 禁用受损账户 ## 阶段 4：根除 移除恶意文件（模拟） 扫描系统威胁 重置密码 终止恶意进程 ## 阶段 5：恢复 安全恢复账户 启用多因素身份验证 (MFA) 继续进行系统监控 恢复服务 ## 漏洞指标 (IOC) 可疑电子邮件域名 恶意 URL 多次登录失败尝试 未知 IP 活动 ## SOC 工作流 网络钓鱼电子邮件 → 用户点击 → 登录尝试 → SIEM 警报 → SOC 分析 → 响应 工具映射 Wireshark → 网络流量分析 - Logs → 系统活动监控 - Splunk → SIEM 警报检测 - 电子邮件分析 → 网络钓鱼检测 SOC 分析师的角色 - 监控来自 SIEM 的警报 - 调查可疑活动 - 识别攻击模式 - 响应事件 - 防止未来的攻击 截图 包含以下内容的图像： 网络分析 日志分析 SIEM (Splunk) 网络钓鱼电子邮件 事件响应 关键学习点 端到端 SOC 工作流 SIEM 监控的重要性 网络钓鱼攻击检测 事件响应生命周期 真实世界的网络安全实践 ## ⚠️ 事件严重性 高 未来改进 - 使用 SIEM 规则自动化检测 - 集成 EDR 工具 - 使用实时威胁情报 - 实施 SOAR 自动化 ## ✅ 结论 本项目演示了 SOC 分析师如何使用结构化的方法检测、分析和响应网络威胁。它反映了真实世界的网络安全运营以及 SOC 岗位所需的实用技能。

标签：BurpSuite集成, IOC指标, IP 地址批量处理, SIEM监控, SOC分析师, SOC项目, Wireshark, 免杀技术, 句柄查看, 子域枚举, 安全运营中心, 应急响应模拟, 恶意链接分析, 暴力破解检测, 红队行动, 网络安全, 网络安全实验, 网络攻击模拟, 网络映射, 网络流量分析, 钓鱼攻击检测, 隐私保护