ThePrathm/SOC-Investigation-Lab

# SOC 调查实验室 SOC 调查与数字取证实验室 – 日志分析、威胁检测与事件响应模拟 # SOC 调查与数字取证实验室 ## 📌 项目概述 本项目模拟了一个真实的 SOC（安全运营中心）调查场景，涉及可疑的登录活动、暴力破解尝试以及潜在的未授权访问。 目标是分析日志、识别妥协指标，并执行基本的事件响应。 ## 🧠 核心目标 - 分析 Windows 和 Web 服务器日志 - 检测可疑的登录模式 - 识别暴力破解攻击行为 - 执行日志关联分析 - 生成事件响应报告 ## 🛠️ 使用工具 - Splunk（日志分析） - Wireshark - Nmap - Windows 事件日志 ## 🔍 调查步骤 1. 收集并分析了 500 多条日志条目 2. 识别出多次失败的登录尝试 3. 检测到暴力破解攻击模式 4. 关联日志以识别可疑 IP 地址 5. 提取妥协指标 6. 创建了事件响应报告 ## 🚨 关键发现 - 同一 IP 发起多次失败的登录尝试 - 表明存在暴力破解攻击的可疑登录行为 - 检测到未授权的访问尝试 ## 📊 妥协指标 - 恶意 IP 地址 - 异常登录尝试 - 可疑时间戳 ## 📁 项目文件 - 日志（样本数据） - 分析截图 - 最终事件报告 ## 🎯 成果 成功模拟了一次 SOC 调查，并展示了在以下方面的实践技能： - 日志分析 - 威胁检测 - 事件调查 ## 🔗 作者 Prathmesh Kumbharkar

标签：AMSI绕过, BurpSuite集成, CTI, Nmap, SOC实验室, Windows事件日志, Wireshark, 免杀技术, 句柄查看, 失陷标示, 威胁检测, 子域名变形, 安全事件调查, 安全报告, 安全运营中心, 应急响应模拟, 异常登录检测, 数字取证, 日志关联, 暴力破解检测, 渗透测试后端分析, 网络安全, 网络映射, 自动化脚本, 虚拟驱动器, 速率限制, 隐私保护