amphib24/threat-hunting-linux-log-analysis

# Linux 威胁狩猎与日志分析     本仓库是一个 SOC 级别威胁检测调查的合集，主要利用 Linux 日志分析。这些调查遵循 TryHackMe 的 SOC 1 Linux 威胁检测房间中的实验，旨在模拟真实的 SOC 工作流。这些调查分为三个主要类别：初始访问、妥协后活动和持久化机制。本仓库旨在展示 SOC 分析师如何使用原生日志记录工具调查 Linux 主机上的威胁活动。 # 仓库状态 正在进行中 - 将随着我完成文章而持续更新 ## 展示技能 - Linux 认证日志分析 (/var/log/auth.log) - 使用命令行工具进行日志过滤与关联 - 从系统日志中提取并记录妥协指标 (IOC) - 通过 sudo 和账户管理活动进行权限提升分析 - 妥协后活动范围界定与行为分析 - 用户账户活动监控（创建、修改、删除） ### 初始访问     本部分包含针对 Linux 主机和服务器上初始访问活动的调查。攻击者可以利用多种技术来获取初始访问权限。这些调查重点关注 SSH 暴力破解以及其他基于服务的初始访问向量。 #### 技术文章 SSH 暴力破解 ### 妥协后活动     本部分包含针对 Linux 主机和服务器上妥协后活动的调查。这些调查侧重于分析可疑的恶意探测命令和加密货币挖矿活动。 #### 技术文章 探测命令

标签：AMSI绕过, Auth.log, IOC提取, PoC, SOC分析师, SSH安全, TryHackMe, 入侵分析, 初始访问, 协议分析, 命令行分析, 威胁检测, 安全运营, 库, 应急响应, 应用安全, 扫描框架, 挖矿检测, 攻击溯源, 暴力破解, 权限提升, 特权升级, 端点安全, 网络安全, 补丁管理, 隐私保护