wayne-0811/phua-cybersecurity-portfolio

删除你不打算考取的认证。 ## 第 2 步 — 完成这些项目（按优先级排序） 既然你还是一名学生，你的项目就是你的经验。在将你的作品集发给雇主之前，请至少完成以下 3 个项目。它们都是免费的，一台笔记本电脑即可完成。 ### 高影响力的入门项目 | # | 项目 | 雇主为何看重 | 时间 | |---|---------|-------------------|------| | 1 | **SIEM 家庭实验室 (Splunk Free 或 Wazuh)** — 接入 Windows 事件日志、Sysmon 和 Linux 身份验证日志。构建 3 条检测规则（登录失败、可疑 PowerShell、端口扫描）。 | 核心 SOC 分析师技能。表明你了解检测工程。 | 1-2 个周末 | | 2 | **TryHackMe 学习路径** — 完成 "SOC Level 1" 和 "Jr Penetration Tester" 路径。用你自己的话写下 2-3 个房间的实验报告。 | 证明你拥有使用真实工具的实践经验。受到业界广泛认可。 | 2-4 周 | | 3 | **Active Directory 家庭实验室** — Windows Server 2022 + 2 台客户端虚拟机。练习攻击（Kerberoasting、GPP）和防御（加固、审计）。 | 超过 90% 的企业环境在使用 AD。这是学生群体中罕见的技能。 | 2 个周末 | | 4 | **Python 安全工具** — 端口扫描器、密码审计工具或日志解析器。附带优秀的 README 托管在 GitHub 上。 | 表明你既具备编程能力又具有防御性思维。 | 1 个周末 | | 5 | **漏洞评估报告** — 使用 Nessus/OpenVAS 扫描含有漏洞的虚拟机 (Metasploitable3) 并撰写一份面向管理层的报告。 | GRC 和咨询类职位非常看重这种具体的交付物。 | 1 个周末 | | 6 | **钓鱼防范意识活动** — 在实验室中使用 GoPhish 模拟网络钓鱼；根据结果设计培训材料。 | 展现了结合业务场景的安全思维。 | 1 个周末 | ### 免费实践平台 - **TryHackMe** — 对初学者友好，具有引导性。 - **HackTheBox Academy** — 更进阶，提供结构化的学习路径。 - **Blue Team Labs Online (BTLO)** — 防御方挑战。 - **LetsDefend** — SOC 分析师模拟演练。 - **PortSwigger Web Security Academy** — 免费的世界级 Web 安全培训。 ## 第 3 步 — 撰写每个项目的报告 对于你完成的每一个项目： 1. 复制 `projects/project-template.html` 并重命名 — 例如，`projects/siem-lab.html`。 2. 填写每个部分：概述、目标、工具、方法论、发现、经验教训。 3. 截取屏幕截图。将它们放入 `projects/images/` 文件夹中并进行链接。 4. **更新 `index.html` 中的项目卡片**：将 `href` 更改为指向你的新页面，并将 `In Progress` 更改为 `Completed`。 **为什么报告很重要：** 雇主不仅想看到你做了项目——他们想看到你能**交流技术发现**。优秀的报告能将普通候选人与顶尖候选人区分开来。 ## 第 4 步 — 在线托管（免费） 给雇主的最佳信号就是一个他们可以直接点击的有效 URL。以下是最快捷的方法： ### 选项 A — GitHub Pages（推荐） 1. 如果你还没有，请创建一个免费的 GitHub 账号。 2. 创建一个名为 `yourusername.github.io`（例如 `phuawaiwai.github.io`）的**公开**仓库。 3. 将此文件夹中的所有文件（包括 `projects/` 子文件夹）上传到该仓库。 4. 进入 **Settings → Pages**，在 "Source" 下选择 `main` 分支。 5. 你的网站将在大约 1 分钟内在 `https://yourusername.github.io` 上线。 ### 选项 B — Netlify Drop（更快捷） 1. 前往 [app.netlify.com/drop](https://app.netlify.com/drop)。 2. 将这整个文件夹拖放到页面上。 3. 完成 — 你会立刻获得一个免费的 `https://xxxx.netlify.app` URL。 两种选项都是**免费且专业的**。把这个 URL 放到你的简历、LinkedIn 和每一次求职申请上。 ## 第 5 步 — 作品集完善清单 在与雇主分享之前，请确保： - [ ] 你的真实姓名、电子邮件、LinkedIn 和 GitHub 已填好 - [ ] 至少有 3 个项目包含真实的报告（而不仅仅是 "In Progress"） - [ ] 页面上的所有链接均可正常访问 - [ ] 网站在移动设备上能正常加载（在你的手机浏览器中打开检查） - [ ] 你的 GitHub 个人主页拥有专业的 README 以及至少一个置顶的安全项目 - [ ] 你的 LinkedIn 职位头衔中提及了网络安全，并链接到本作品集 ## 打动雇主的技巧 1. **展示过程，而不仅仅是结果。** 雇主看重学生的是*成长潜力*。一个展示稳步成长的作品集胜过一个过度吹嘘的。 2. **使用专业术语。** 使用诸如 *MITRE ATT&CK*、*IOCs*、*tuning false positives*、*blast radius*、*principle of least privilege* 等术语。这标志着你阅读过真正的安全内容。 3. **拥有一个“招牌”项目。** 一个深入的项目（例如，一个包含检测规则和报告的完整 SIEM 实验室）胜过五个浅尝辄止的项目。 4. **也记录失败。** “什么行不通以及为什么”是宝贵的财富——它表明你会学习。在相关情况下，在你的报告中增加一个此类部分。 5. **建立人际网络。** 作品集能为你带来面试机会，但熟人内推能让你获得工作。把你的报告发布在 LinkedIn 上——提高你的曝光度。 祝你好运。在安全领域，坚持不懈带来的回报远超天赋——继续推进项目，写下报告，并不断迭代。你终将到达目的地。