GQueroIT/SecOps-Threat-Analysis-Lab

# SecOps 威胁分析实验室 ## 概述 SecOps 威胁分析实验室是一个注重实践的网络安全作品集项目，记录了我在 Security+ 学习、实际安全分析、防御性实验室模拟以及基于证据的文档编写方面的进展。 本仓库采用渐进式安全运营项目的结构，每天的实验都在不断拓展对防御性安全的理解，同时巩固与现实世界安全运营及 Security+ 目标相一致的概念。 本仓库并非一系列互不相关的练习的简单集合，而是旨在展示在威胁分析、主机加固、安全架构、身份与访问管理、事件响应以及安全运营工作流方面的持续成长。 # 目标 本项目的目标是： * 执行为期 30 天的以 Security+ 为重点的实验室冲刺 * 通过日常实验培养实用的安全运营技能 * 通过分析驱动的场景强化防御性思维 * 构建展示基于证据的安全工作的作品集 * 在准备认证考试的同时巩固现实世界的概念 * 为未来的蓝队和云安全项目奠定基础 # 本仓库展示的内容 本项目展示了在以下方面的实际接触与成长： * 威胁分析与攻击面审查 * 主机与系统加固概念 * 防御性安全控制映射 * 安全架构与身份安全概念 * 安全监控与事件响应方法论 * 风险分析与缓解规划 * 安全运营文档规范 * 渐进式工具熟悉度与安全工作流开发 # 项目方法论 每个实验遵循标准化的五阶段工作流： ## 1. 实验前学习 与 Security+ 目标和实用安全概念相一致的日常学习。 ## 2. 实验 / 场景 动手分析或防御性安全练习。 ## 3. 文档编写 记录证据、发现、缓解措施和经验教训。 ## 4. 问题与 PBQs 高难度的考试风格问题和场景分析。 ## 5. 复述强化 概念解释与推理验证。 # 30 天安全冲刺阶段 ## 阶段 1 — 威胁与漏洞 第 1–7 天 重点： * 攻击面分析 * 社会工程学威胁 * 凭证攻击 * 恶意软件分析 * Web 威胁 * 威胁狩猎场景 ## 阶段 2 — 安全架构与 IAM 第 8–14 天 重点： * 零信任 * 隔离 * 云安全模型 * 联合身份验证与认证 * 访问控制与权限管理 ## 阶段 3 — 安全运营与事件响应 第 15–21 天 重点： * 日志记录与监控 * SIEM 基础 * 事件响应 * 取证概念 * 系统加固 ## 阶段 4 — 顶点防御模拟 第 22–30 天 重点： * 风险与治理 * 合规控制 * 恢复规划 * 顶点安全评估 * 最终考试准备 # 使用的工具 ## 安全分析与防御工具 * Wireshark * Nmap * PowerShell * VirtualBox * Rocky Linux * Ubuntu * Windows 实验室系统 * firewalld * SELinux * auditd * journalctl * ss * Windows Event Viewer ## 安全运营与研究资源 * Splunk * OpenVAS / Greenbone * MITRE ATT&CK * OWASP Top 10 * VirusTotal * MXToolBox * draw.io * OpenSSH * Fail2Ban * Ncrack * grep * scp * sudo 遥测分析 ## 文档与开发 * GitHub * Visual Studio Code * Markdown * Bash ## 学习资源 * CompTIA Security+ 考试目标 * Jason Dion Security+ * Professor Messer Security+ # 仓库结构 ``` SecOps-Threat-Analysis-Lab/ │ ├── 00-Project-Overview/ ├── 01-Threats-Vulnerabilities/ ├── 02-Secure-Architecture-IAM/ ├── 03-Security-Operations-Incident-Response/ ├── 04-Capstone-Defense-Simulation/ ├── 90-Assets/ │ ├── diagrams/ │ ├── screenshots/ │ ├── reference-materials/ │ └── cheat-sheets/ └── 99-Templates/ ``` # 标准实验结构 每个日常实验包含： ``` analysis/ evidence/ logs/ mitigation/ notes/ README.md ``` 辅助实验文档可能包括： * 威胁分析报告 * 安全基线检查清单 * 设计决策 * 故障排除说明 * 事件响应 playbook * 风险评估 # 文档框架 可重用模板支持跨实验的一致报告： * 实验 README 模板 * 威胁分析报告 * 事件响应 Playbook * 风险评估模板 * 安全控制映射模板 * PBQ 分析模板 * 每日学习日志模板 * 经验教训模板 * 顶点评估模板 这些作为项目参考模板和文档标准。 # 进度追踪器 ## 当前状态 当前状态 第 3 天完成 — 凭证滥用检测与特权活动监控 ## 当前阶段 阶段 1 — 威胁与漏洞（进行中） ## 里程碑 * [X] 已创建仓库结构 * [X] 已完成文档模板 * [ ] 第 1 周已完成 * [ ] 第 2 周已完成 * [ ] 第 3 周已完成 * [ ] 第 4 周已完成 * [ ] Security+ 考试准备就绪 ## 已完成的实验 * [X] 实验 01 安全 Linux 跳板机部署与网络钓鱼威胁分析 * [X] 实验 02 密码攻击、认证滥用与凭证防御 * [X] 实验 03 凭证滥用检测与可疑活动监控 * [ ] 实验 04 恶意软件分析 * [ ] 实验 05 Web 应用程序威胁 * [ ] 实验 06 威胁狩猎 PBQ * [ ] 实验 07 第 1 周练习复习 * [ ] 实验 08–30 进行中 本节将在整个项目过程中更新以反映进度。 # 实验中强化的示例技能 本项目强调： * 纵深防御 * 最小权限 * 攻击面缩减 * 日志记录与监控 * 安全控制验证 * 威胁检测思维 * 事件响应方法论 * 基于风险的安全分析 * 基于证据的文档 # 迄今为止展示的安全技能 - 网络钓鱼威胁分析 - SSH 凭证攻击模拟 - 认证日志分析 - Splunk 日志摄取与关联 - MITRE ATT&CK 技术映射 - 可疑特权活动分析 - 防御控制验证 - Linux 安全监控 - 基础检测工程概念 # 预期成果 完成后，本仓库预计将包含： * 30 个渐进式记录的安全实验，附有证据、检测逻辑和防御分析 * 与 Security+ 对齐的实用工件 * 威胁分析文档 * 安全控制评估 * 事件响应文档 * 顶点防御模拟工件 * 展示安全运营知识进展的作品集 # 未来扩展路线图 计划的未来扩展可能包括： ## 阶段 2 * 蓝队实验室 * 威胁狩猎练习 * 检测工程实验室 ## 阶段 3 * 云安全实验室 * 身份安全项目 * SIEM 与监控项目 ## 阶段 4 * 安全自动化 * AI 安全运营研究 * 高级防御工程实验室 ## 作者 Gabriel Quero GitHub: [https://github.com/GQueroIT](https://github.com/GQueroIT) ## 项目状态 进行中 — Security+ 30 天冲刺准备

标签：AI合规, CTI, IAM, IP 地址批量处理, SecOps, Security+, 云安全架构, 动手实验, 威胁分析, 安全基线, 安全实验, 安全工程, 安全控制映射, 安全文档, 安全架构, 安全组合项目, 安全认证, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 攻击面分析, 教学环境, 无线安全, 系统加固, 网络安全, 网络安全实验室, 自动化侦查工具, 蓝队演练, 身份与访问管理, 防御加固, 防御性安全, 防御模拟, 隐私保护