bedochi1996/blue-team-labs

# 蓝队实验室 蓝队实操实验笔记与练习，涵盖实用的 SOC 分析师技能，包括 SIEM 告警分拣、Windows 事件日志分析、PCAP 调查、网络钓鱼分析以及 MITRE ATT&CK 映射。 内容以个人笔记格式撰写，基于 TryHackMe、LetsDefend 和 Blue Team Labs Online 的实操练习。不包含任何受版权保护的内容或付费平台的解决方案。 ## 实验模块 ### Windows 事件日志分析 - 常见的安全相关 Event ID - 登录事件分析 (4624, 4625, 4648) - 账户管理事件 - 进程创建日志记录 - PowerShell 事件日志记录 ### PCAP 分析 - Wireshark 过滤技巧 - 识别可疑流量模式 - DNS 异常检测 - HTTP/HTTPS 流量审查 - Beaconing 模式识别 ### 网络钓鱼调查 - 电子邮件头部分析 - URL 和附件分析 - 从钓鱼样本中提取 IOC - 报告调查结果 ### Splunk 基础搜索 - SPL 基础知识 - 搜索、过滤和聚合 - 字段提取 - Timechart 和 stats 命令 - Dashboard 创建概念 ### MITRE ATT&CK 映射 - Tactic 和 Technique 识别 - 将告警映射到 ATT&CK 框架 - 使用 ATT&CK Navigator 的概念 - 威胁组织映射 ## 备注 所有内容均已进行脱敏处理。不包含真实的日志、真实的凭证或专有平台的内容。 所有练习均基于个人学习笔记和模拟环境。

标签：DNS异常检测, IOCs提取, IP 地址批量处理, LetsDefend, MITRE ATT&CK映射, PCAP分析, SIEM告警分类, SOC分析师, SPL查询, TryHackMe, Windows事件日志, Wireshark, 信标模式识别, 初级安全分析师, 句柄查看, 安全培训, 安全实验室, 安全日志分析, 安全运营中心, 搜索语句（dork）, 数字取证, 电子邮件安全, 网络安全, 网络安全学习笔记, 网络映射, 自动化脚本, 钓鱼攻击调查, 隐私保护