lawal-adams/tryhackme-soc-writeups

# TryHackMe SOC 分析师报告 一个实践作品集，包含 TryHackMe 房间报告，记录了在 SIEM 操作、事件响应、网络取证和威胁狩猎方面的动手实践。每份报告都经过结构化处理，旨在将实验活动映射到真实的 SOC 分析师职责。 ## 关于我 我正在为在澳大利亚成为一名 SOC 分析师而努力，目前正在备考 CompTIA CySA+（已获得 Security+ 认证，2026 年 2 月）。这个代码仓库是我记录所学知识的地方，以便在完成房间学习后仍能保持其实用价值。 ## 代码仓库结构 每个房间都位于独立的文件夹中，并包含一份聚焦的 README，涵盖： - 房间概述和场景 - 演示的技能和工具 - 关键概念和有意义任务的详细步骤 - 实验工作如何与 SOC 分析师的日常工作相联系 - 个人心得体会 ## 已完成房间 | # | 房间 | 专注领域 | 状态 | |---|------|-----------|--------| | 01 | [SIEM 简介](./01-introduction-to-siem/) | SIEM 基础、日志来源、告警 | 已完成 | | 02 | [Splunk：基础](./02-splunk-the-basics/) | Splunk 架构、SPL、数据接入 | 已完成 | | 03 | 使用 ELK 进行调查 | ELK Stack、KQL、日志分析 | 进行中 | 随着我在 SOC Level 1 路径上的不断推进，将添加更多房间。 ## 技能索引 - **SIEM 平台：** Splunk、ELK Stack - **日志分析：** Windows 事件日志、Linux syslog、Apache、Sysmon、VPN 日志 - **检测工程：** 规则编写、告警调优、误报分析 - **查询语言：** SPL (Splunk)，正学习 KQL (ELK/Sentinel) - **框架：** MITRE ATT&CK、Cyber Kill Chain - **概念：** 日志归一化、关联分析、告警分诊、事件调查、索引管理 ## 认证 - CompTIA Security+（2026 年 2 月） - CompTIA CySA+（准备中） *所有报告均反映了我个人的工作和学习。出于对 TryHackMe 政策的尊重，并为了保持这些房间对他人的实用性，实验答案不会在此发布。*

标签：Cloudflare, CompTIA CySA+, CompTIA Security+, Cyber Kill Chain, ELK Stack, IP 地址批量处理, KQL, MITRE ATT&CK, OpenCanary, SOC分析师, SPL, Sysmon, TryHackMe, Windows事件日志, 子域名变形, 安全博客, 安全取证, 安全告警, 安全实验室, 安全工程师, 安全运营, 实验报告, 库, 应急响应, 扫描框架, 插件系统, 网络安全, 网络安全学习, 网络安全审计, 隐私保护