Beatrice-Hodson/threat-hunting-portfolio

# 威胁猎捕作品集 ### Bea Hodson | 威胁猎捕工程师 | 犹他州盐湖城 拥有5年网络安全领域经验，曾担任面向客户的安全工程师 和安全分析师。本作品集记录了基于真实攻击者战术、技术和程序（TTP）的 实战威胁猎捕调查、事件响应案例研究和 检测工程工作。 ## 证书与教育背景 | 资质证书 | 状态 | |---|---| | 网络安全与信息保障理学学士学位 | ✅ 已完成 | | CISSP | ✅ 已完成 | | CySA+ | ✅ 已完成 | | Security+ | ✅ 已完成 | | Network+ | ✅ 已完成 | | PJPT（实用初级渗透测试工程师） | ✅ 已完成 | | PSAP（实用SOC分析师专家） | 🔄 进行中 | ## 核心能力 | 领域 | 工具与技能 | |---|---| | 威胁猎捕 | 假设驱动方法论、MITRE ATT&CK Navigator、Kansa | | SIEM与日志分析 | Splunk SPL、Sysmon、Windows事件日志 | | 事件响应 | PICERL、NIST SP 800-61r3、后渗透分析 | | 脚本与自动化 | PowerShell IR自动化、规模化Invoke-Command | | 恶意软件分析 | VirusTotal、静态分析、行为分析 | | 持久化检测 | 注册表、WMI、计划任务、服务、Autoruns | | 横向移动检测 | PsExec/RemCom、命名管道、SMB会话分析 | | 终端安全 | EDR、漏洞管理 | | 攻防安全 | PJPT — 渗透测试基础 | ## 作品集调查案例 ### 🔴 [Avongate工业 — 事件响应调查](./avongate-investigation/) - 识别出从初始访问到持久化及C2的完整攻击链 - 发现6种独立的持久化机制，包括WMI事件消费者 - 追踪通过受损凭据在多个主机间的横向移动 - 生成可用于遏制的IOC清单和修复行动手册 - **使用工具：** Kansa、PowerShell、VirusTotal、Timeline Explorer、MITRE ATT&CK ## Splunk查询库 ## 威胁猎捕标准操作程序 ## 联系方式 - GitHub: [Beatrice-Hodson](https://github.com/Beatrice-Hodson) - 所在地: 犹他州盐湖城

标签：AI合规, BurpSuite集成, CISSP, Cloudflare, CySA+, DAST, EDR安全, GauPlus, GPT, IOC提取, Kansa工具, MITRE ATT&CK, OpenCanary, PowerShell脚本, SIEM分析, Splunk查询, Sysmon监控, VirusTotal分析, Windows事件日志, 威胁情报, 安全工程, 安全操作中心, 开发者工具, 恶意软件分析, 持久化机制, 攻击链重建, 横向移动检测, 漏洞管理, 管理员页面发现, 网络安全, 自动化响应, 补救策略, 认证考试, 调查案例, 隐私保护