Git-Mansoor-Ahmad/SOC-Detection-Engineering-Portfolio

# 🛡️ SOC 检测工程作品集 ### 🚀 核心项目 #### 1. SideWinder APT 检测 * **场景：** 记录 `.lnk` 负载执行与 C2 Beaconing 活动。 * **工作：** 为 Wazuh 编写自定义 XML 解码器以触发致命警报。 * **成果：** 对初始访问尝试实现 100% 的检测率。 #### 2. Blue Locker 勒索软件 * **场景：** 检测基于信息熵的 Web 代理绕过与文件加密行为。 * **工作：** 针对 Sysmon 事件 ID 11（文件创建）和 ID 1（进程创建）的监控逻辑。 #### 3. Inferno Drainer 加密货币欺诈 * **场景：** 识别 Drainor 脚本中使用的高熵 JavaScript UUID。 * **检测逻辑：** 使用**正则表达式** 进行基于模式的检测，以捕获随机生成的 32 字符文件名。 ### 🏆 核心优势：主攻击时间线 * **[统一关联视图](./Master-Attack-Timeline.md)：** 一个主仪表板，展示了网络钓鱼 -> PowerShell 劫持 -> C2 Beaconing -> 横向移动 的同步演进过程。 * **验证：** 所有检测结果均与原始日志进行比对验证，确保对攻击生命周期具有 100% 的可见性。 ### 🛠️ 技术工具库 * **SIEM/IDS：** Wazuh、ELK Stack、Splunk * **取证分析：** Wireshark (TLS 1.3/DNS/HTTP 分析)、Sysmon * **脚本编写：** 正则表达式、Python、Bash

标签：AMSI绕过, APT检测, ATT&CK框架, Bash, DAST, ELK栈, Object Callbacks, OpenCanary, PE 加载器, Python, SideWinder, SIEM工程, SIEM规则编写, SOC分析师, Sysmon, Wazuh, Wireshark, 代理绕过, 加密劫持, 勒索软件防御, 句柄查看, 命令与控制(C2), 威胁情报, 威胁检测, 安全脚本, 安全运营, 安全运营中心, 安全防御策略, 应用安全, 开发者工具, 恶意软件分析, 扫描框架, 数字取证, 无后门, 横向移动, 编程规范, 网络安全, 网络映射, 网络欺诈, 网络钓鱼, 自动化脚本, 逆向工具, 隐私保护