TorresNico/SOC-Detection-Lab

# SOC-Detection-Lab ## 概述 本项目在虚拟化实验环境中使用 Splunk、Windows 安全日志、Sysmon 和 Kali Linux，演示了 SOC 分析师的实操技能。 该实验重点关注： - 检测工程 - 安全事件分析 - 模拟攻击者行为 - 事件调查工作流程 ## 使用的技术 - Splunk Enterprise - Windows 事件日志 - Sysmon - Kali Linux - VirtualBox - PowerShell ## 开发的检测项 ### 1. 身份验证滥用检测 - Event ID：4625 - 识别重复的失败登录尝试 - 模拟暴力破解行为 ### 2. 可疑进程执行 - Event ID：4688 - 监控 PowerShell 和命令行活动 - 调查可疑的执行行为 ### 3. 网络侦察检测 - 使用 Kali Linux 模拟侦察活动 - 分析与攻击者行为相关的命令执行活动 ## 展示的技能 - SPL 查询开发 - Windows 日志分析 - 检测工程 - 安全监控 - 事件分诊 - 威胁分析 ## 作品集 本代码库中包含一份完整的 SOC 检测作品集 PDF。 ## 未来改进 - Active Directory 集成 - 高级关联搜索 - 告警调优与仪表盘 - 额外的攻击模拟

标签：AI合规, IPv6, PowerShell, SOC实验室, SPL查询, Sysmon, VirtualBox, Windows安全日志, 免杀技术, 威胁分析, 安全事件调查, 安全仪表盘, 安全分析师, 安全运营中心, 异常进程监控, 插件系统, 攻击模拟, 暴力破解检测, 端点安全, 管理员页面发现, 网络安全, 网络安全实验环境, 网络映射, 自动化侦查工具, 补丁管理, 隐私保护, 驱动签名利用