djonesjr-sec/virtual-soc-threat-hunting

# 虚拟SOC威胁狩猎组合项目 ## 概述 本项目记录了一个围绕 Security Onion 构建的虚拟SOC威胁狩猎组合项目。该组合项目专注于威胁狩猎、企业安全监控、日志管理、Zeek 网络分析、Suricata IDS 调查、PCAP 审查以及类似事件的报告。 本项目的目的是展示一个实用的分析师工作流程：识别可疑活动、审查网络证据、将告警与日志关联、记录指标，并生成清晰的结论，这些结论可支持事件升级或后续处置。 ## 项目范围 本组合项目侧重于在受控的虚拟环境中使用 Security Onion 进行基于网络的检测与调查。工作重点强调分析师的决策、证据处理和结构化报告，而非简单展示工具截图。 重点领域包括： - 使用 Security Onion 进行威胁狩猎 - 企业安全监控 - 日志审查与事件分析 - Zeek 网络日志调查 - Suricata IDS 告警审查 - 基于 PCAP 的证据审查 - 指标文档记录 - 事件式报告 - 分析师工作流程开发 ## 调查工作流程 调查工作流程遵循实用的SOC风格流程： 1. 审查 Security Onion 告警并识别需要调查的活动 2. 确定源、目标、协议、端口和时间线上下文 3. 跳转到 Zeek 网络日志，查看连接、DNS、HTTP 及相关元数据 4. 审查 Suricata IDS 告警以获取检测上下文 5. 当需要更深入的数据包级审查时，检查 PCAP 证据 6. 记录指标、观察结果和支撑证据 7. 生成一份包含调查结果和建议后续步骤的事件式报告 ## 工具与技术 - Security Onion - Zeek - Suricata - PCAP 分析 - 虚拟化环境 - Markdown 文档 - 指标追踪 - 分析师报告 ## 组合项目内容 ### 已完成的调查 | 调查 | 主题 | 摘要 | |---|---|---| | [调查 001 - XLoader/FormBook 流量分析](investigations/investigation-001-2026-04-13-xloader-formbook/) | XLoader/FormBook 感染后流量 | 对一台疑似受感染主机的可疑 DNS、Suricata 告警、Zeek HTTP 活动以及重复的出站 HTTP POST 行为进行的 Security Onion 调查。 | ### 支持性内容 本仓库包含： - 调查报告 - 经过脱敏的 Security Onion 截图 - Zeek 日志分析示例 - Suricata 告警审查示例 - PCAP 审查笔记 - 威胁狩猎查询 - 指标文档 - 事件式报告 ## 报告方法 每次调查都侧重于清晰性、证据和可靠的结论进行记录。报告的撰写旨在展示观察到了什么、为什么重要、哪些证据支持结论以及在真实环境中建议采取哪些措施。 ## 项目状态 进行中。 ## 免责声明 本项目是在受控虚拟环境中使用经过脱敏的非生产数据进行的。不包含任何雇主、客户、私人网络或敏感信息。

标签：AMSI绕过, ESC漏洞, Metaprompt, OISF, PCAP分析, Rootkit, Security Onion, Suricata, Zeek, 企业安全监控, 入侵检测系统, 分析师工具, 功能关键词, 威胁情报, 威胁检测, 安全信息与事件管理, 安全报告, 安全数据湖, 安全运营中心, 开发者工具, 技术栈, 指标追踪, 搜索引擎爬取, 日志管理, 现代安全运营, 网络安全, 网络安全监控, 网络映射, 网络流量分析, 虚拟化安全, 证据收集, 防御加固, 隐私保护, 驱动开发