aswini-manickam/soc-training

[README_ soc training.md](https://github.com/user-attachments/files/27274635/README_.soc.training.md) # SOC 分析师培训课程 - 安全运营专业人士实用指南 []() []() []() []() []() ## 关于此课程 本仓库是一个**实用的、与框架对齐的 SOC 培训课程**，专为想要结构化、动手实践学习（而不仅仅是理论）的初中级安全分析师而设计。 它是基于设计和提供 SOC 培训的直接经验从零开始构建的，并不断更新以反映当前的威胁、工具和行业期望。每个模块都包含明确的学习成果、动手实验组件，并与专业认证标准相映射，以便学习者能够建立具备证书且可转移的技能。 **适用人群：** - 寻找结构化自学路径的 SOC 分析师候选人 - 希望填补其实践知识空白的初级分析师 - 设计基于实验的培训计划的网络安全教育工作者 - 转行进入安全运营领域的人员 ## 学习路径概述 ``` BEGINNER INTERMEDIATE ADVANCED-READY ─────────────────────────────────────────────────────────────────────▶ Module 1 Module 3 & 4 Module 5 Module 6 & 7 SOC Fundamentals → SIEM Operations → Threat Scenarios → DFIR & Vuln Mgmt Log Analysis Simulations Assessment │ Module 2 Threat Intelligence MITRE ATT&CK ``` ## 🗂️ 课程模块 ### 模块 1 - 安全运营基础 **适用人群：** 首次进入 SOC 的零基础初学者 **你将学到：** - SOC 结构 - 分层模型、分析师角色、升级工作流 - 告警分诊方法论和决策框架 - Windows、Linux 和网络设备中常见的日志格式 - 如何在没有经验的情况下阅读和解释安全事件 **动手实验：** - 使用预构建的 SIEM 仪表板进行日志分诊练习 - 模拟告警队列 - 在混合场景中进行分类、确定优先级并升级 **认证对齐：** ISC2 CC 第 4 域 · Cisco CyberOps - Security Monitoring ### 模块 2 - 威胁情报与 MITRE ATT&CK **适用人群：** 能够分诊告警但希望了解攻击*为什么*发生的分析师 **你将学到：** - 如何在实际调查中阅读和应用 MITRE ATT&CK 框架 - 战术、运营和战略威胁情报之间的区别 - 如何使用威胁情报上下文丰富 SIEM 告警 - 将观察到的攻击者行为映射到 ATT&CK 技术和战术 **动手实验：** - ATT&CK Navigator 练习 - 将模拟攻击遥测数据映射到具体技术 - 使用 OSINT 来源的威胁情报丰富工作流 - 为模拟对手构建威胁档案 **认证对齐：** Cisco CyberOps - Threat Intelligence · ISC2 CC 第 1 域 ### 模块 3 — SIEM 运营与日志分析 **适用人群：** 准备从阅读告警转向主动检测的分析师 **你将学到：** - 如何查询 Splunk、Security Onion 和 Kibana 以进行威胁狩猎和检测 - 为实时监控构建关联规则和仪表板 - 应用 CIM (Common Information Model) 进行日志规范化 - 在不同来源类型的日志数据中识别攻击者模式 **动手实验：** - Splunk SPL 查询练习 - 从基本的字段提取到多源关联 - Security Onion 告警审查和 Zeek/Suricata 日志分析 - 为网络和端点遥测构建运营级 Kibana 仪表板 **工具：** `Splunk` `Security Onion` `Kibana` `Splunk CIM` `Universal Forwarders` **认证对齐：** Cisco CyberOps - Security Monitoring（最大的考试域） ### 模块 4 - 事件分诊与升级 **适用人群：** 希望在压力下工作得更快、更自信的分析师 **你将学到：** - 结构化的分诊方法论 - 如何一致地确定安全告警的优先级 - 区分真阳性、假阳性和良性异常 - IRP (Incident Response Plan) 协议 - 文档和升级标准 - 如何撰写清晰、准确的事件工单 **动手实验：** - 包含真假阳性混合的模拟告警队列 - 在时间压力下进行分诊 - 使用结构化 IR 模板进行事件文档练习 - 映射到严重性级别的升级决策场景 **认证对齐：** ISC2 CC 第 2 域 · Cisco CyberOps - Incident Response ### 模块 5 - 威胁场景模拟 **适用人群：** 准备端到端调查真实攻击模式的分析师 **你将学到：** - 跨网络钓鱼、恶意软件和入侵场景识别失陷指标 - 使用 SIEM 和端点遥测在攻击杀伤链中追踪攻击者行为 - 应用对策并记录响应操作 **三个核心模拟场景：** | 场景 | 攻击类型 | 你将检测到的内容 | |----------|-------------|----------------| | **网络钓鱼活动** | 通过恶意邮件窃取凭证 | 邮件网关日志 · 代理日志 · 认证异常 | | **恶意软件感染** | 端点失陷及 C2 回连 | EDR 遥测 · 出站连接异常 | | **网络入侵** | 初始访问后的横向移动 | 网络流量分析 · Zeek 日志 · SIEM 关联 | **工具：** `Security Onion` `Splunk` `Wireshark` `沙箱实验环境` ### 模块 6 - 数字取证与事件调查 **适用人群：** 转向 Tier 2/3 或专注于 DFIR 角色的分析师 **你将学到：** - 结构化的 DFIR 方法论 - 从范围界定到报告生成 - 从日志和取证工件分析中重建攻击者时间线 - 为技术和非技术受众撰写专业的事件调查报告 - 证据保管链文档标准 **动手实验：** - 文件系统和内存工件分析 - 日志关联以构建完整的攻击时间线 - 结构化调查结果报告 - 按专业 DFIR 标准撰写 **认证对齐：** ISC2 CC 第 2 域 · Cisco CyberOps - Digital Forensics ### 模块 7 - 漏洞评估与 Essential Eight **适用人群：** 拓展到漏洞管理和合规领域的分析师 **你将学到：** - 如何使用 Nessus 和 OpenVAS 进行结构化的漏洞评估 - CVE 分诊 - 严重性评分 (CVSS)、业务影响权重和优先级排序 - 将补救措施映射到澳大利亚 Essential Eight 成熟度控制 - 在结构化评估报告中传达发现结果 **动手实验：** - Nessus 凭证扫描 → 发现结果分诊练习 - Essential Eight 控制映射工作表 - Windows Server 加固检查清单 - 按顺序应用控制 **工具：** `Nessus` `OpenVAS` `Windows Server` `Group Policy` ### 模块 8 - 端点安全与加固 **适用人群：** 希望了解加固环境如何减少告警数量的分析师 **你将学到：** - 跨 Active Directory 环境应用的最小权限原则 - 使用 CIS 基准基线进行基于 Group Policy 的端点加固 - 监控端点安全态势并检测配置漂移 - 加固决策如何直接影响 SIEM 检测覆盖范围 **动手实验：** - Active Directory 账户审计和权限审查练习 - GPO 加固练习 - 逐步应用 CIS 基准控制 - 通过 SIEM 日志比较（前后对比）验证加固影响 ## 实验设计理念 本课程中的每个实验都基于四个原则构建： **1. 真实性优于抽象性** 实验基于映射到 MITRE ATT&CK 的真实世界攻击模式文档——而非合成的教科书场景。目标是让每个实验都感觉像你在工作的第一周可能遇到的情况。 **2. 阶梯式难度** 每个模块都从引导式演练 → 独立调查 → 挑战模式（时间紧迫，极简指导）逐步升级。这反映了你在真实 SOC 中从 Tier 1 移动到 Tier 2 所经历的进展。 **3. 以框架为导向的成果** 每个实验都映射到至少一个专业认证域（Cisco CyberOps 或 ISC2 CC）和一个行业框架（MITRE ATT&CK 或 Essential Eight）。在这里构建的技能是可直接转移且获得认证的。 **4. 双格式交付** 所有材料均为**讲师主导**和**自定进度**学习而构建——因此你可以单独学习、在学习小组中学习，或作为促进培训计划的一部分学习。 ## 推荐的实验环境 你可以使用免费和开源工具在本地运行所有实验： ``` ┌─────────────────────────────────────────────────┐ │ Recommended Lab Stack │ ├──────────────────┬──────────────────────────────┤ │ SIEM / NSM │ Splunk Free · Security Onion │ │ │ Kibana (ELK Stack) │ ├──────────────────┼──────────────────────────────┤ │ Network │ Wireshark · Nmap · Zeek │ │ Analysis │ Suricata │ ├──────────────────┼──────────────────────────────┤ │ Endpoint │ Windows Server (Eval) │ │ │ Active Directory · GPO │ ├──────────────────┼──────────────────────────────┤ │ Vuln Scanning │ Nessus Essentials (Free) │ │ │ OpenVAS │ ├──────────────────┼──────────────────────────────┤ │ Virtualisation │ VirtualBox · VMware Workstation│ │ │ Player (Free) │ └──────────────────┴──────────────────────────────┘ ``` ## 认证对齐图 | 模块 | MITRE ATT&CK | Essential Eight | Cisco CyberOps | ISC2 CC | |--------|-------------|----------------|----------------|---------| | 1 — SOC 基础 | - | - | Security Monitoring | 第 4 域 | | 2 — 威胁情报 | 完全映射 | - | Threat Intelligence | 第 1 域 | | 3 — SIEM 与日志分析 | 检测覆盖 | - | Security Monitoring | 第 4 域 | | 4 — 事件分诊 | 杀伤链 | - | Incident Response | 第 2 域 | | 5 — 威胁模拟 | 战术/技术 | - | 所有域 | 第 2 域 | | 6 — DFIR | 利用后阶段 | - | Digital Forensics | 第 2 域 | | 7 — 漏洞评估 | - | 所有 8 项控制 | | 第 5 域 | | 8 — 端点加固 | | 控制 1-5 | Endpoint Security | 第 4 域 | ## 📁 仓库结构 ``` soc-training-curriculum/ │ ├── README.md # This file - curriculum overview │ ├── module-01-soc-fundamentals/ │ ├── learning-outcomes.md │ ├── lab-guide.md │ └── resources.md │ ├── module-02-threat-intelligence/ │ ├── learning-outcomes.md │ ├── lab-guide.md │ ├── attack-navigator-exercises/ │ └── resources.md │ ├── module-03-siem-log-analysis/ │ ├── learning-outcomes.md │ ├── splunk-spl-exercises.md │ ├── security-onion-lab.md │ └── resources.md │ ├── module-04-incident-triage/ │ ├── learning-outcomes.md │ ├── lab-guide.md │ ├── templates/ │ │ └── incident-report-template.md │ └── resources.md │ ├── module-05-threat-simulations/ │ ├── scenario-01-phishing/ │ ├── scenario-02-malware/ │ ├── scenario-03-network-intrusion/ │ └── resources.md │ ├── module-06-dfir/ │ ├── learning-outcomes.md │ ├── lab-guide.md │ ├── templates/ │ │ └── investigation-report-template.md │ └── resources.md │ ├── module-07-vulnerability-assessment/ │ ├── learning-outcomes.md │ ├── nessus-lab-guide.md │ ├── essential-eight-mapping.md │ └── resources.md │ └── module-08-endpoint-hardening/ ├── learning-outcomes.md ├── lab-guide.md ├── cis-benchmark-checklist.md └── resources.md ``` ## 🤝 贡献 本课程是一个动态资源。欢迎贡献、纠正和补充。 如果你发现过时的内容，想要建议一个实验场景，或者有工具推荐——欢迎提交 issue 或 pull request。 ## 📚 参考文献与框架 - [MITRE ATT&CK 框架](https://attack.mitre.org/) - [澳大利亚 Essential Eight](https://www.cyber.gov.au/resources-business-and-government/essential-cyber-security/essential-eight) - [Cisco CyberOps Associate 考试主题](https://www.cisco.com/c/en/us/training-events/training-certifications/exams/current-list/cyberops-associate-200-201.html) - [ISC2 CC 考试大纲](https://www.isc2.org/certifications/cc) - [Splunk 文档](https://docs.splunk.com/) - [Security Onion 文档](https://docs.securityonion.net/) - [CIS Benchmarks](https://www.cisecurity.org/cis-benchmarks/) - [NIST 网络安全框架](https://www.nist.gov/cyberframework) ## 👤 作者 **Aswini Manickam** 网络安全从业者与教育工作者 - [LinkedIn](https://www.linkedin.com/in/aswini-manickam/) - [GitHub](https://github.com/aswini-manickam) *[网络安全作品集]的一部分*

标签：AES-256, AMSI绕过, Cisco CyberOps, Cloudflare, CTI, DNS 反向解析, Essential Eight, IP 地址批量处理, ISC2 CC, Metaprompt, MITRE ATT&CK, OpenCanary, SOC入门, SOC分析师培训, SOC实战, Terraform 安全, 中级安全, 威胁检测, 子域名变形, 安全分析师, 安全教育, 安全运营中心, 安全运营培训, 实验室实战, 库, 应急响应, 插件系统, 数字取证与应急响应(DFIR), 无线安全, 框架映射, 漏洞修复, 漏洞评估, 网络信息收集, 网络安全培训, 网络安全基础, 网络安全审计, 网络安全职业发展, 网络安全认证, 网络安全课程, 网络映射, 自学路径, 越狱测试