aqrana025/SOC-Analyst-Journey

# 🛡️ 我的 SOC 分析师之旅：从理论到日志

### **本项目背后的“原因”** 我一直认为，在网络安全领域，了解工具的工作原理只是成功的一半——真正的技能在于明白警报**为什么**会被触发，以及接下来的应对措施。我创建这个仓库是为了记录自己从安全专业学生到实战从业者的转变过程。 ### **我的重点** * **SIEM 与监控：** 深入探索 **Splunk (SPL)** 和 **Wazuh**，以在海量数据中去伪存真。 * **日志分析：** 学习 **Windows Event Logs (Sysmon)** 和 **Linux Auth logs** 的语言。 * **分析思维：** 将每个实验映射到 **MITRE ATT&CK** 框架和 **NIST** 事件响应步骤。 ### **技术工具包** | 类别 | 工具与框架 | | :--- | :--- | | **可见性** | Splunk, Microsoft Sentinel, Wazuh, ELK | | **调查** | Wireshark, Suricata, Zeek | | **检测** | Sigma Rules, YARA, 自定义 SPL 查询 | | **方法论** | MITRE ATT&CK, NIST 800-61, OSINT | ### **项目进度追踪** | 天数 | 项目 | 状态 | | :--- | :--- | :--- | | 01 | **DNS 行为与分析** | ✅ [查看实验](./DNS-Behaviour) | | 02 | 暴力破解检测 | 🚧 进行中 | | 03 | 钓鱼邮件分析 | 🔳 即将推出 |

标签：AMSI绕过, Cloudflare, DNS分析, ELK, ESC4, IP 地址批量处理, Linux系统日志, Metaprompt, Microsoft Sentinel, MITRE ATT&CK, NIST 800-61, OPA, OSINT, Rootkit, Sigma规则, SOC分析师, SPL, Suricata, Sysmon, Wazuh, Windows事件日志, Wireshark, YARA, Zeek, 云资产可视化, 免杀技术, 句柄查看, 威胁检测, 安全分析师, 安全实验室, 安全运营, 安全运营中心, 安全项目经验, 库, 应急响应, 扫描框架, 暴力破解检测, 现代安全运营, 目标导入, 网络安全入门, 网络安全实验, 网络安全求职, 网络映射, 网络钓鱼分析, 自定义查询, 蓝军演练, 靶场