hozcanshield/soc-incident-response-notes

# SOC 事件响应笔记 ## 关于本仓库 本仓库包含基于实际运营工作流程和网络安全经验的实用安全运营中心（SOC）与事件响应（IR）笔记。 涵盖主题包括： - 钓鱼邮件调查 - 端点检测与响应（EDR） - SIEM 告警分析 - 漏洞修复协调 - 威胁分诊 - 事件升级流程 - 基础云安全观察 # 钓鱼调查工作流程 ## 1. 初始告警审查 常见钓鱼指标： - 可疑发件人域名 - 紧急财务或凭证索取请求 - 仿冒的 Microsoft 365 通知 - 意外附件 - URL 混淆 - 二维码钓鱼尝试 初始验证步骤： - 检查邮件头信息 - 核查 SPF/DKIM/DMARC 验证结果 - 识别发件人信誉 - 分析内嵌 URL - 判断是否可能已提交凭证 ## 2. 用户影响评估 需确定： - 用户是否点击了链接？ - 是否输入了密码？ - 是否启用了多因素认证（MFA）？ - 是否下载了文件？ - 是否建立了远程访问？ 关键响应措施： - 立即重置密码 - 撤销会话/令牌 - 重新强制启用 MFA - 用户沟通 ## 3. 端点调查 审查内容： - EDR 告警 - 可疑进程执行 - PowerShell 活动 - 浏览器下载记录 - 持久化机制 - 网络连接 EDR 重点检查领域示例： - 编码的 PowerShell 命令 - 异常的父子进程关系 - 与外部 IP 的通信 - 凭证转储行为 ## 4. SIEM 调查 关联分析： - 认证日志 - VPN 访问记录 - 地理位置异常 - 不可能行程告警 - 权限提升事件 - 邮箱访问模式 Splunk 查询示例： ``` index=o365 sourcetype=azure:signin | stats count by user, src_ip, country ``` ``` index=security EventCode=4625 | stats count by Account_Name, Source_Network_Address ``` ## 5. 遏制措施 潜在遏制措施： - 禁用受影响账户 - 封锁恶意域名/IP - 隔离端点 - 移除收件箱规则 - 终止可疑会话 ## 6. 恢复与经验总结 修复完成后： - 验证账户完整性 - 审查持久化机制 - 监控再次入侵尝试 - 开展用户安全意识跟进培训 - 按需更新检测规则 # 漏洞管理笔记 典型修复流程： 1. 发现 2. 风险评估 3. 资产识别 4. 业务影响评估 5. 补丁协调 6. 修复验证 7. 报告与指标跟踪 风险优先级考量因素： - CVSS 评分 - 互联网暴露面 - 关键资产 - 漏洞利用可用性 - 业务影响 - 法规要求 # 参考工具 ## SIEM - Splunk - QRadar - LogRhythm ## EDR/XDR - CrowdStrike Falcon - SentinelOne ## 漏洞管理 - Rapid7 - Tenable ## 云与身份 - AWS - Microsoft Entra ID # 未来计划 计划补充内容： - 检测工程示例 - MITRE ATT&CK 映射 - AWS 安全监控笔记 - Sigma 检测规则 - 威胁狩猎示例 - 基础 Python 自动化脚本 # 作者 Hakan Ozcan 安全运营与事件响应工程师 SOC | SIEM | EDR | 漏洞管理 | AWS

标签：漏洞利用检测