mohmadhisham68-hub/siem-incident-response
GitHub: mohmadhisham68-hub/siem-incident-response
模拟真实 SOC 环境的 SIEM 事件响应实验项目,提供从警报分类到事件报告的端到端蓝队实操参考。
Stars: 0 | Forks: 0
[README (1).md](https://github.com/user-attachments/files/27705080/README.1.md)
# 🔎 事件响应与 SIEM 实验环境
## 概述
该项目模拟了一个真实的 SOC(安全运营中心)环境,我在其中跨两个 SIEM 平台执行了端到端的事件响应工作。工作内容涵盖了警报分类、IOC 分析、威胁狩猎、日志自动化以及正式的事件报告——整个过程严格遵循了结构化的 runbook 流程。
## 🛠️ 工具与技术
| 类别 | 工具 |
|---|---|
| SIEM | Splunk, Microsoft Sentinel |
| 脚本编写 | Python, PowerShell |
| 威胁情报 | VirusTotal, IOC Lookup |
| 框架 | MITRE ATT&CK |
| 日志源 | Windows Event IDs (4624, 4625, 4688) |
## 📋 完成的工作
### 警报分类与关联
- 在 Splunk 和 Sentinel 中关联警报,以识别暴力破解模式、横向移动和异常用户行为
- 通过 VirusTotal 对可疑样本和网络钓鱼指标进行分类
- 提取 IOC,并将其与 MITRE ATT&CK 技术进行交叉比对
### 端点与 EDR 分析
- 应用端点检测概念来分析可疑的进程行为
- 根据进程创建日志(Event ID 4688)标记出异常活动模式以进行升级处理
### Python 自动化
- 编写了 Python 数据摄取脚本,将重复警报类型的手动日志预处理时间减少了 **40%**
- 自动化了重复的分类步骤,从而提高了分析师的处理速度
### PowerShell 日志解析
- 从 Windows Event IDs 中挖掘出可疑活动:
- `4624` — 成功登录
- `4625` — 登录失败(暴力破解指标)
- `4688` — 进程创建(执行链分析)
### 事件报告与领导力
- 带领一支由 4 名分析师组成的团队,在协作共享调查结果的同时独立负责报告工作
- 制定了跨 Splunk 和 Sentinel 的统一事件时间线
- 向模拟的 CISO 专家组展示调查结果
- 编写了一份凭证攻击 runbook,并被整个团队采用
## 🗂️ 涵盖的 MITRE ATT&CK 技术
| 技术 ID | 名称 |
|---|---|
| T1110 | Brute Force |
| T1078 | Valid Accounts (Credential Stuffing) |
| T1021 | Remote Services (Lateral Movement) |
| T1059 | Command and Scripting Interpreter |
## 📁 仓库结构
```
siem-incident-response/
├── scripts/
│ ├── log_ingestor.py # Python log pre-processing automation
│ └── event_id_parser.ps1 # PowerShell Windows Event ID parser
├── runbooks/
│ └── credential_attack_runbook.md # Runbook authored during the lab
├── reports/
│ └── incident_timeline.md # Unified Splunk + Sentinel incident timeline
└── README.md
```
## 🔑 核心收获
- 获得了在两种企业级 SIEM 中对真实警报类型进行分类的实战经验
- 了解了暴力破解和横向移动在不同日志源中的表现形式
- 学会了如何编写专业分析师级别的 runbook 以及向领导层展示调查结果
- 通过脚本自动化显著减少了手动工作
## 📬 联系方式
**Mohamed Hishamudeen**
[LinkedIn](https://linkedin.com/in/mohamed-hishamudeen) · [mohmadhisham68@gmail.com](mailto:mohmadhisham68@gmail.com)
标签:AI合规, Cloudflare, EDR, IOC提取, IPv6, Libemu, Microsoft Sentinel, MITRE ATT&CK, OpenCanary, PE 加载器, PoC, PowerShell, Python, Windows事件日志, 凭证攻击, 告警分诊, 威胁情报, 安全报告, 安全脚本, 安全运营, 安全运营中心, 库, 应急响应, 开发者工具, 扫描框架, 搜索语句(dork), 数据关联, 无后门, 日志解析, 暴力破解, 横向移动, 端点检测与响应, 红队行动, 编程规范, 网络安全, 网络安全实训, 网络安全实验, 网络攻击分析, 网络映射, 脆弱性评估, 脱壳工具, 证书伪造, 逆向工具, 隐私保护, 黄金证书