0xCBradford/CyberHub-Labs
GitHub: 0xCBradford/CyberHub-Labs
一套以「执行优先」为核心理念的个人安全运营实验室框架,专注于 SOC 工作流、威胁狩猎、事件响应与检测工程的实战化学习与知识沉淀。
Stars: 1 | Forks: 0
# CyberHub
## 概述
CyberHub 是我个人的网络安全实战学习与运营环境,专注于调查工作流、遥测分析、威胁狩猎、检测工程、恶意流量分析以及防御性安全运营。
该环境围绕“执行优先”的学习理念构建,通过反复的调查、遥测生成、证据收集、验证、文档记录以及真实世界的防御安全工作流来进行学习。
本仓库并非旨在成为一个精美的“黑客仪表盘”、社交媒体项目或资质证书展示。其主要目的是支持跨 SOC 工作流、事件响应、威胁狩猎、恶意流量分析、遥测分析以及检测工程的实战化学习。
该环境的设计理念侧重于重复、调查、文档记录和验证,而非被动学习或基于教程的学习。
其目标是逐步培养真实世界防御性安全岗位所需的思维模式和工作流纪律。
## 主要关注领域
当前学习和开发的领域包括:
- 安全运营中心 (SOC) 工作流
- 事件响应调查
- 威胁狩猎方法论
- 检测工程
- 恶意流量分析
- Windows 遥测分析
- Sysmon 和事件日志分析
- DNS 和网络调查
- PowerShell 调查技术
- Sigma 规则开发
- KQL 学习与查询开发
- MITRE ATT&CK 映射
- PCAP 和网络流量分析
- 证据收集与调查文档记录
## 学习理念
该环境遵循“执行优先”的方法。
重点关注:
- 有目的地生成遥测数据
- 分析真实日志与工件
- 验证假设
- 记录发现
- 识别知识盲点
- 随着时间推移提升调查推理能力
预期每项主要任务或调查都应包含:
- 动手实践
- 屏幕截图或证据收集
- 验证/测试
- 用自己的话撰写说明
- 知识巩固与复习
- 疑难或盲点追踪以便后续学习
目标是培养实际操作能力,而不仅仅是理论上的熟悉。
## 环境结构
### Dashboard 层
CyberHub 的 Dashboard 作为运营驾驶舱,用于组织工作流、调查、学习路径和执行追踪。
### VS Code 工作区
VS Code Workspace 作为主要的运营环境,用于:
- 脚本编写
- 检测规则开发
- 遥测分析
- 调查
- PCAP 审查
- 文档记录
- 证据管理
### Obsidian 知识库
Obsidian 被用作长期知识和调查存储库,用于:
- 研究笔记
- 调查时间线
- 检测逻辑
- 遥测观察记录
- 概念与知识巩固复习
- 调查报告
### 证据与文档
屏幕截图、日志、导出数据和调查工件遍布存储于整个仓库中,以支持可重现性、验证和文档记录规范。
## 仓库结构
```
CYBERHUB/
|
|-- archive/
|-- datasets/
|-- detections/
|-- evidence/
|-- labs/
|-- notes/
|-- portfolio-assets/
|-- screenshots/
|-- scripts/
|-- telemetry/
|-- templates/
|-- tools/
|-- writeups/
```
## 核心目录
| 目录 | 用途 |
|---|---|
| `datasets/` | 示例日志、Sigma 示例、Atomic Red Team 数据 |
| `detections/` | Sigma、KQL、Suricata、YARA 以及检测相关工作 |
| `evidence/` | 调查导出、屏幕截图、PCAP、时间线 |
| `labs/` | 实践实验室环境和专项培训区域 |
| `notes/` | 运营笔记、概念和调查学习 |
| `scripts/` | 自动化、PowerShell 和 Python 工具 |
| `telemetry/` | Sysmon、Zeek、Suricata、Windows 日志和 PCAP 存储 |
| `templates/` | 调查、狩猎和检测文档模板 |
| `writeups/` | 调查报告与分析写作 |
## 当前路线图
### 阶段 0
基础与工作流设置
- Workspace 组织
- Dashboard 优化
- 文档规范标准
- 截图与证据工作流
- 运营结构设计
### 阶段 1
SOC 与遥测基础
- Security Onion 实验室
- Windows VM 遥测数据生成
- Sysmon 部署
- 事件日志分析
- 基础调查
- Atomic Red Team 测试
### 阶段 2
威胁狩猎与调查工作流
- 进程分析
- 行为调查
- DNS 分析
- PowerShell 分析
- 时间线构建
- 调查视角扩展与切入
### 阶段 3
恶意流量分析
- PCAP 分析
- Beaconing 通信识别
- IOC 提取
- DNS 与 HTTP 流量分析
- Wireshark 与 Zeek 工作流
### 阶段 4
检测工程
- Sigma 规则创建
- KQL 开发
- 检测调优
- 验证测试
- MITRE ATT&CK 对齐
## 长期目标
CyberHub 的长期目标是构建实际调查能力,并培养以下领域所需的运营思维:
- SOC 分析师岗位
- 事件响应
- 威胁狩猎
- 检测工程
- 调查性网络安全运营
本仓库代表了一个以执行、验证和持续改进为核心的持续学习过程。
标签:AI合规, DNS 解析, DNS调查, EDR, HTTP工具, IP 地址批量处理, KQL, KQL查询, Metaprompt, MITRE ATT&CK映射, OpenCanary, PCAP分析, PowerShell安全, Rootkit, Security Onion, Sigma规则, Suricata, Sysmon, Windows遥测, Zeek, 威胁情报, 子域名变形, 安全事件调查, 安全取证, 安全学习环境, 安全日志分析, 安全规则开发, 安全运营中心, 安全运营工作流, 开发者工具, 恶意软件流量分析, 数字取证与应急响应, 现代安全运营, 目标导入, 端点检测与响应, 管理员页面发现, 网络安全, 网络安全实验室, 网络安全审计, 网络映射, 网络流量分析, 脆弱性评估, 脱壳工具, 逆向工具, 隐私保护