AdityaBhatt3010/TryHackMe-Junior-Security-Analyst-Walkthrough

# TryHackMe — Junior Security Analyst 攻略 网络安全不仅仅是入侵系统或追踪恶意软件签名。在真实环境中，安全分析师充当着抵御持续攻击、可疑行为、网络钓鱼活动和基础设施滥用等威胁的第一道防线。在这个 TryHackMe 实验房间中，我们将扮演初级安全分析师的角色，体验 SOC 日常运作的简化版本。 实验室链接：[https://tryhackme.com/room/jrsecanalystintrouxo](https://tryhackme.com/room/jrsecanalystintrouxo) # 任务 1 — Junior Security Analyst（初级安全分析师） 本房间首先介绍了初级安全分析师的角色，他们在安全运营中心 (SOC) 内通常被称为一级 (L1) 分析师。这里的主要职责是监控警报、识别可疑活动、上报严重事件，并协助组织抵御威胁。 SOC 团队通常实行 7x24 小时工作制，因为攻击并不遵循工作时间。分析师会持续监控日志、SIEM 仪表盘、端点警报、防火墙事件以及网络钓鱼报告。 ### 问题： **作为一名初级安全分析师，你在哪个团队工作？** ### 答案： ``` SOC ``` # 任务 2 — Security Operations Center (SOC)（安全运营中心） 本节介绍了 SOC 环境中的不同成员，以及他们如何为事件响应和组织防御做出贡献。 涵盖的一些重要角色： * **高级分析师** → 处理高级调查并协助初级分析师。 * **安全工程师** → 配置检测系统并维护安全工具。 * **管理者** → 协调运营和报告工作。 * **事件响应人员** → 处理重大的安全事件，例如勒索软件爆发。 了解这些角色非常重要，因为网络安全高度依赖协作。在应对真实事件时，分析师极少单独工作。 ### 问题： **继续下一个任务！** 无需回答。 # 任务 3 — 安全分析师的一天 这是本房间的实践部分，我们将在 SOC 仪表盘内部调查警报。 目标是审查传入的警报，识别恶意活动，适当地上报问题，最后通过在防火墙上阻止攻击者 IP 来遏制威胁。 # 步骤 1 — 调查警报 在警报仪表盘内，我们审查了触发的安全事件，并识别出一个参与恶意活动的可疑外部 IP 地址。 这个阶段至关重要，因为分析师必须在进一步上报之前，验证该活动是良性的、可疑的还是彻头彻尾的恶意行为。 ### 识别出的恶意 IP ``` 221.181.185.159 ``` 该 IP 作为可疑流量指标的一部分出现在安全警报中，需要立即关注。  # 步骤 2 — 上报事件 在验证了恶意指标之后，下一步是上报。 在真实的 SOC 环境中，上报极其重要，因为初级分析师通常负责初步分类，而高级分析师则负责针对关键威胁进行更深入的取证调查和决策。 该警报被上报给了 SOC 团队中提到的高级分析师。 ### 上报给 ``` Will Griffin ```   # 步骤 3 — 阻止恶意 IP 上报之后，最后的行动涉及通过防火墙阻止攻击者 IP。 阻止恶意 IP 是一种常见的遏制技术，用于防止攻击者与内部基础设施之间的进一步通信。虽然这不能完全消除威胁行为者，但它显著降低了主动利用尝试和到达网络的恶意流量。 ### 执行的操作 ``` Blocked malicious IP on firewall ``` 一旦阻止规则成功应用，实验室返回了以下 flag： ### Flag ``` THM{until-we-meet-again} ```  # 核心要点 本房间为 SOC 运作在真实环境中的运作方式提供了一个对新手友好的介绍。尽管任务经过了简化，但其工作流程反映了分析师的实际职责： * 监控警报 * 调查可疑指标 * 上报事件 * 应用遏制措施 * 在 SOC 内协同工作 一个重要的结论是，网络安全防御严重依赖流程驱动。即使是验证一个 IP 地址或正确上报一个工单这样的小动作，也能防止更大的事件对组织造成影响。 对于刚步入蓝队或 SOC 分析领域的新手来说，本房间为事件处理工作流程和防御操作提供了扎实的基础介绍。

标签：Blue Teaming, Incident Response, L1分析师, Object Callbacks, OPA, TryHackMe, Walkthrough, 事件升级, 初级安全分析师, 勒索软件, 告警分诊, 子域枚举, 安全分析师, 安全工程, 安全运营, 安全运营中心, 库, 应急响应, 恶意告警调查, 扫描框架, 端点安全, 网络安全, 网络安全实验, 网络映射, 网络钓鱼, 补丁管理, 防火墙威胁遏制, 隐私保护, 靶场