UsmanAkhter-Cybersecurity/SOAR---DIGITAL-FORENSICS-INVESTIGATION-AND-RESPONSE

项目概述 本项目演示了安全运营中心 (SOC) 工作流的实现， 使用了 EDR 平台和 SOAR 工具。我的目标是检测并自动化响应凭据 窃取攻击。 技术栈 - 终端：Windows 11 虚拟机 - EDR：LimaCharlie - SOAR：Tines - 通信工具：Slack 和 电子邮件 - 攻击工具：LaZagne 1. 攻击模拟 我通过在 Windows 11 目标机器上运行 LaZagne 黑客工具， 模拟了一次凭据访问攻击。 执行命令：.\LaZagne.exe all 该工具成功解密了系统主密钥，并导出了包括 admin 和 vboxuser 在内的多个账户的哈希值。 2. 检测工程 使用 LimaCharlie，我监控了遥测数据并识别出 了恶意进程。随后，我编写了一条自定义的检测与响应 (D&R) 规则来标记此活动。 3. SOAR 自动化 为了缩短响应时间，我构建了一个 Tines 工作流来自动化告警流程。 触发机制：来自 LimaCharlie 的检测遥测数据通过 Webhook 发送至 Tines。 4. 成功证据 该实验环境成功触发了自动化工作流。 告警提供了关键的调查数据，包括： 恶意哈希：dc06d62ee95062e714f2566c95b8edaabfd387023b1bf98a09078b84007d5268 主机 IP：10.0.2.15 用户：SOARCYBER\vboxuser

标签：AMSI绕过, D&R规则, EDR, LaZagne, LimaCharlie, meg, Slack集成, SOAR, SOC自动化, Tines, Webhook, Windows 11, 信息安全, 凭据转储, 力导向图, 哈希提取, 威胁检测, 安全实验室, 安全运营中心, 攻击模拟, 模拟器, 网络安全, 网络映射, 脆弱性评估, 自动化响应, 自动化运维, 邮件告警, 隐私保护, 驱动签名利用