nataklapa00/LetsDefend-SOC-Writeups

# 我的 SOC 分析师作品集与蓝队 Write-up 欢迎来到我的网络安全作品集！本仓库包含我在 LetsDefend 平台上通过真实世界模拟演练生成的实用事件响应报告和威胁分析 write-up。 已完成的调查（案例研究） 点击下方链接阅读完整的事件响应报告： 1. **[SOC143 - 检测到密码窃取程序 (100% 通过)](./SOC143-Password-Stealer.md)** 类型：恶意软件 / 木马执行防御 结果：真阳性。阻止了通过电子邮件伪造进行的凭据窃取尝试。 2. **[SOC142 - 多个 HTTP 500 响应 (100% 通过)](./SOC142-SQL-Injection.md)** 类型：SQL 注入攻击 / Web 应用程序安全 结果：真阳性。识别了通过恶意 URL 请求进行的数据库利用尝试。 3. **[SOC211 - Utilman.exe Winlogon 漏洞利用尝试 (100% 通过)](./SOC211-Utilman.md)** 类型：主机持久化 / Living-off-the-land 二进制文件 (LOLBin) 缓解 结果：真阳性。防御了通过高权限系统二进制文件创建恶意本地账户的行为。 4. **[SOC202 - FakeGPT 恶意 Chrome 扩展程序 (100% 通过)](./SOC202-FakeGPT-Extension.md)** 类型：数据泄露 / 恶意浏览器附加组件分析 结果：真阳性。发现了活跃的 C2 通信并阻止了潜在的数据渗出通道。 5. **[SOC167 - 在请求的 URL 中检测到 LS 命令 (100% 通过)](./SOC167-LS-Command-In-URL.md)** 类型：Web 攻击 / 误报特征调优 结果：误报。识别了一起特征误触发事件，其中“skills”一词触发了 Linux 命令警报。 使用的工具与技术 SIEM / 日志分析：LetsDefend Log Management、Exchange Mail Gateway 日志、Endpoint Telemetry 日志 威胁情报：VirusTotal、AbuseIPDB 文档：Markdown、GitHub 作品集管理

标签：AbuseIPDB, Ask搜索, C2通信, CISA项目, DAST, DOE合作, GitHub作品集, LetsDefend, LOLBin, Markdown, OpenCanary, SOC分析师, Utilman漏洞利用, VirusTotal, Web攻击, 主机持久化, 凭据窃取, 威胁分析, 威胁情报, 子域枚举, 安全报告, 安全运营中心, 开发者工具, 恶意浏览器插件, 恶意软件分析, 数据窃取, 木马防御, 案例研究, 模拟演练, 电子邮件欺骗, 端点安全, 网络安全, 网络映射, 自动化侦查工具, 补丁管理, 误报处理, 邮件安全, 防御加固, 隐私保护