chima-ukachukwu-sec/soc-defensive-portfolio

# SOC 与防御性安全作品集 由 **Chima Anthony Ukachukwu** 维护 — 网络安全分析师（SOC + AI 安全） 作品集: [chimaukachukwu.com](https://chimaukachukwu.com) · LinkedIn: [chima-anthony-u](https://linkedin.com/in/chima-anthony-u) ## 本仓库介绍 这是一组整合的案例研究和方法论笔记，源于防御性安全工作——包括生产环境 SOC 运营、威胁情报自动化、检测工程以及结构化的行业模拟。内容已经过脱敏处理，移除了可识别客户身份的细节和受保护的指标；其中涉及的方法论、架构选择和经验教训均已公开。 ## 1. MISP 威胁情报自动化 — Hobby Hobby 企业信息系统 **背景。** 2024 年 5 月至 8 月，在 Hobby Lobby 企业信息系统网络安全团队实习。作为 SOC 团队的一员，负责将 [MISP (Malware Information Sharing Platform)](https://www.misp-project.org/) 投入实际应用，用于威胁情报的获取与丰富。 **问题。** 团队虽然有 MISP，但缺乏标准化的部署模式，没有社区订阅源的自动化获取机制，也没有为新分析师制定入职操作文档。分析师们只能凭记忆手动提取指标。 **我的工作。** 1. **容器化部署。** 将 MISP 迁移到基于 Docker-Compose 的部署方案中，并使用版本控制配置，从而能够快速启动干净的测试实例，并拥有可文档化的回滚路径。 2. **订阅源获取自动化。** 编写 Python 脚本，从一系列精选的社区威胁订阅源（CIRCL OSINT、abuse.ch、AlienVault OTX 等）中提取数据，将指标标准化，并按计划周期推送到 MISP 中。 3. **丰富化流水线。** 配置了 MISP 的丰富化模块，并为两个内部数据源添加了 Python 封装，确保指标在到达时已经与组织现有的遥测数据进行了交叉比对。 4. **文档编写。** 编写了安装操作手册和分析师快速入门指南，这样下一位实习生就不必对部署进行逆向工程了。 **成果。** 到实习结束时，团队拥有了一个可复现的 MISP 环境，并实现了每日自动更新指标。在实习期末评审时，向高级 IT 员工展示了这项工作。 **技术栈。** MISP、Docker、Docker-Compose、Python (`requests`、`pymisp`)、Linux (Ubuntu)、Splunk（下游消费者）。 **改进反思。** 订阅源获取脚本是一个单一的 cron 触发进程。基于队列的 Worker（Celery + Redis）在处理缓慢或失败的订阅源时会更具弹性，并且在添加更多数据源时具有更好的扩展性。 ## 2. Splunk SOC 监控演练 这是一份精简的演练指南，记录了我在同一实习期间学习并参与的 SOC 监控工作流。内容已脱敏——不包含真实警报内容或基础设施细节。 **分析师日常工作循环：** 1. **分诊队列。** 打开 Splunk Enterprise Security，扫描重大事件仪表板，排查隔夜的高严重性事件。 2. **初步分类。** 对每个重大事件判定为：真阳性、假阳性、良性但可疑，或上下文不足。并进行相应标记。 3. **数据追踪。** 对于真阳性，使用 SPL 搜索（我学会了编写和调优的保存搜索）从重大事件追踪到潜在的原始事件。 4. **关联分析。** 与 MISP 指标、Microsoft Defender 警报和 Imperva WAF 日志进行交叉比对。 5. **文档记录。** 每一个操作——甚至是“经审查后标记为假阳性”——都要在案例管理工具中留下单行备注。未来的我（以及下一位分析师）会需要这些追踪记录。 6. **工作交接。** 为下一位分析师提供换班总结：未结案例、待处理的数据追踪，以及任何需要重点关注的事项。 **我遵循的检测工程原则：** - **检测规则必须是可测试的。** 如果我不能编写一个合成事件来触发它，我就无法确信它能正常工作。 - **为组织进行调优，而非沿用供应商默认配置。** 开箱即用的规则会产生噪音，淹没真实的信号。每条被触发的规则都应文档化说明“我们为何关注”，并设定经过调优的阈值。 - **记录“为什么”，而不仅仅是“是什么”。** 检测说明应回答：这是什么行为、在这里为什么可疑、假阳性表现如何、分析师应该做什么。 ## 3. Forage 网络安全模拟 完成了由多个 Forage 项目合作伙伴提供的结构化虚拟体验项目。每一个都是包含明确交付物的限定问题集；我将它们视为面向非技术高管受众进行写作的练习。 | 项目 | 重点 | 我制作的交付物 | |---|---|---| | **Mastercard** | 威胁情报 | 钓鱼活动分析报告及建议的员工培训更新方案 | | **PwC** | 网络安全咨询 | 针对假设客户的风险评估矩阵和补救路线图 | | **AIG** | 事件管理 | 事后审查报告及策略执行建议 | | **Tata Group** | 网络安全 | 网络分段计划及端点保护策略 | | **Telstra** | SOC 运营 | 钓鱼检测工作流及上报矩阵 | 这些是模拟练习，并非在上述公司进行的真实实习。它们作为结构化的推理练习很有帮助，但不能替代生产环境的实际经验。 ## 4. 方法论与工具 **我经常使用的工具：** - **SIEM:** Splunk Enterprise Security、Microsoft Sentinel（实验环境） - **EDR:** Microsoft Defender for Endpoint - **WAF:** Imperva（生产环境）、ModSecurity（实验环境） - **威胁情报:** MISP、AlienVault OTX、CIRCL OSINT 订阅源 - **漏洞管理:** Nessus、Nmap - **数据包分析:** Wireshark、tcpdump - **脚本:** Python、PowerShell、Bash - **容器 / 实验环境:** Docker、VirtualBox、Windows Server、Ubuntu - **合规框架:** NIST CSF、ISO 27001、HIPAA **操作原则：** - **实时记录。** 事后编写的笔记会丢失细节。 - **将每一个假阳性视为调优的机会。** 触发两次的假阳性就是一个未解决的问题。 - **倾向于具有可操作性的检测。** 一个被触发但没人知道该怎么处理的检测不叫检测——那是噪音。 - **为下一位分析师而构建，而不是为我个人。** 每一个脚本、操作手册和检测规则，都应该能让未曾参与过其设计讨论的人看懂。 ## 其他作品集仓库 - [`ai-red-teaming-frameworks`](https://github.com/chima-ukachukwu-sec/ai-red-teaming-frameworks) — AI/LLM 攻击性评估框架 - [`ai-evaluation-safety-portfolio`](https://github.com/chima-ukachukwu-sec/ai-evaluation-safety-portfolio) — 符合 NDA 的 AI 安全评估案例研究 - [`portfolio-chima-ukachukwu`](https://github.com/chima-ukachukwu-sec/portfolio-chima-ukachukwu) — [chimaukachukwu.com](https://chimaukachukwu.com) 的源码 ## 联系方式 - **电子邮件:** chima.ukachukwu.sec@gmail.com - **LinkedIn:** [chima-anthony-u](https://linkedin.com/in/chima-anthony-u) - **作品集:** [chimaukachukwu.com](https://chimaukachukwu.com)

标签：AI合规, AI安全, Chat Copilot, CTI, Docker, Docker Compose, ESC4, GPT, NIDS, OSINT, PB级数据处理, Python, 企业安全, 威胁情报, 威胁情报自动化, 安全报告, 安全架构, 安全运维, 安全运营, 安全运营中心, 安全防御评估, 容器化, 应用安全, 开发者工具, 恶意软件信息共享平台, 情报源接入, 扫描框架, 数据富化, 无后门, 案例研究, 漏洞管理, 紫队, 网络信息收集, 网络威胁情报, 网络安全分析师, 网络映射, 网络调试, 网络资产管理, 自动化, 请求拦截, 逆向工具