Threathunter-debug/phishing-email-investigation

GitHub: Threathunter-debug/phishing-email-investigation

一份完整的企业级 SOC 钓鱼邮件调查项目，展示了从警报触发到威胁遏制的全流程应急响应方法论。

Stars: 0 | Forks: 0

# 钓鱼邮件调查与遏制 ## 执行摘要本项目演示了使用企业 SOC 调查方法进行的钓鱼邮件调查。调查重点包括识别恶意指标、验证用户影响、分析端点活动以及实施补救措施。 ## 使用工具 - Microsoft Defender XDR - IBM QRadar - CrowdStrike Falcon - VirusTotal - URLScan ## 调查目标 - 分析钓鱼指标 - 识别潜在受影响用户 - 验证端点活动 - 判定恶意与良性行为 - 遏制并补救威胁 - 使用 SOC 工作流记录调查结果 ## 调查工作流 1. 审查 Microsoft Defender 中生成的钓鱼警报 2. 提取发件人信息和可疑 URL 3. 执行 IOC 分析和 URL 信誉检查 4. 调查用户邮箱活动 5. 使用 CrowdStrike Falcon 审查端点遥测数据 6. 验证是否发生了恶意执行 7. 实施遏制措施 8. 记录调查结果和补救步骤 ## MITRE ATT&CK 映射 | 技术 | 描述 | |---|---| | T1566 | 钓鱼 (Phishing) | | T1204 | 用户执行 (User Execution) | | T1071 | 应用层协议 (Application Layer Protocol) | ## 项目结构 ``` screenshots/ -> Investigation screenshots queries/ -> SIEM and KQL queries iocs/ -> Indicators of compromise report/ -> Final incident report ``` ## 展示的核心技能 - SIEM 调查 - EDR 分析 - 威胁狩猎 - IOC 分析 - 事件响应 - 安全文档编写 - 邮件安全调查 ## 调查截图 ### 邮件预览分析 ![Email Preview](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/f7f9d6901b051826.png) ### 相似邮件调查 ![Similar Emails](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/8b842c9679051828.png) ### URL 分析 ![URL Analysis](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/3e13bc14e7051829.png) ### 邮件头与检测审查 ![Header Analysis](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b5ec359f82051830.png) ### IOC 与相关实体审查 ![IOC Review](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/29d2aacb75051831.png)

标签：CrowdStrike Falcon, DAST, EDR, IBM QRadar, IOC分析, IP 地址批量处理, KQL查询, Microsoft Defender XDR, URL分析, 企业安全, 失陷标示分析, 威胁情报, 安全分析师, 安全文档, 安全运营中心, 库, 应急响应, 开发者工具, 恶意软件分析, 搜索语句（dork）, 漏洞分析, 端点检测与响应, 网络安全, 网络映射, 网络资产管理, 脆弱性评估, 脱壳工具, 路径探测, 邮件安全, 钓鱼邮件调查, 隐私保护