shank078/shank078
GitHub: shank078/shank078
一位澳大利亚初级 SOC 分析师的 GitHub 个人主页,展示了基于 Azure 蜜罐、双 SIEM 检测、SOAR 自动化和身份安全攻防的多个实战安全运营项目。
Stars: 0 | Forks: 0
# Shankar Baral
### 初级网络安全分析师 | SOC | Microsoft Sentinel | Splunk | KQL | Azure
**澳大利亚永久居民 · 堪培拉,ACT · 对悉尼/远程工作持开放态度**
[](https://linkedin.com/in/shankarbaral1)
[](mailto:shankarbaral1@gmail.com)
[](https://tryhackme.com/certificate/THM-W0IURVWPR8)
[](https://github.com/shank078)
## 👋 关于我
信息技术(网络安全)硕士毕业生 **(GPA 4.92)**,目前在 Extratech 担任 IT 支持专家,同时正努力转型为一名专职的 SOC 分析师。
我不只是学习安全理论——我构建系统,将其暴露在真实的互联网威胁下,并设计检测机制来阻止它们。
- 🛡️ 运行**实时 Azure 蜜罐**——捕获、丰富并映射了来自 6 个以上国家的 1,400 多次真实暴力破解尝试
- 🔭 搭建了**双 SIEM 检测实验室**——在 Microsoft Sentinel (KQL) 和 Splunk Enterprise (SPL) 中同步实现相同的检测逻辑
- ⚡ 部署了**零接触 SOAR pipeline**——通过 Logic Apps 自动化 Jira 工单系统,并利用 IBM watsonx Orchestrate 代理试点由 AI 驱动的一级(tier-1)分流
- 📚 正在考取 **CompTIA Security+**(2026 年 7 月)· **SC-200**(2026 年第三季度)· **BTL1**(2026 年第四季度)
- 🎯 求职目标:澳大利亚的**初级 SOC 分析师**职位
## 🛠️ 技术栈
**安全与 SIEM**
**云与身份**
**自动化与工具**
## 🚀 项目
### 🛡️ 双 SIEM 检测实验室
运行 Windows Server 2022 的实时蜜罐,同时将数据接入 **Microsoft Sentinel 和 Splunk Enterprise**。使用 KQL 和 SPL 构建了 5 条检测规则——暴力破解、账户锁定、地理位置异常、权限提升、持久化。在 Sentinel 中自动生成了 4 个真实安全事件。包含真实的攻击者 IP。无模拟数据。
**→ 在实时攻击流量上实现 KQL 与 SPL 的跨平台查询一致性**
[](https://github.com/shank078/Dual-SIEM-Detection-Lab)
### 🌍 全球威胁情报实验室 — Azure Sentinel 与蜜罐
将一台 Windows Server 2022 虚拟机暴露在公网下,随后构建了完整的 SIEM pipeline,使用自定义 PowerShell 脚本为每个失败的 RDP 事件丰富地理位置数据。在带有双重状态紧急逻辑(🔴 最近 30 分钟 / 🟡 最近 24 小时)的实时 SOC 仪表板上进行可视化。
**→ 实时映射了来自 6 个以上国家的 1,400 多次真实暴力破解尝试**
[](https://github.com/shank078/azure-sentinel-honeypot-siem)
### ⚡ 云原生 SOAR Pipeline — Sentinel 至 Jira
零接触事件响应 pipeline——Sentinel 检测到暴力破解攻击,触发分析规则,调用无服务器 Logic App playbook,并在 SOC 队列中自主创建带有完整上下文的 Jira 工单。从检测到生成工单全流程无需分析师干预。
**→ 生成工单平均耗时:数秒。人工操作:零。**
[](https://github.com/shank078/azure-sentinel-jira-soar-pipeline)
### 🔐 Azure 身份安全与事件响应实验室
完整的红队攻陷与蓝队恢复——单人扮演双重角色。利用 MFA *enabled*(已启用)与 MFA *enforced*(已强制执行)之间的差异,通过凭证窃取和 MFA 劫持完成全面的账户接管。随后转换角色:检测到不可能的旅行(澳大利亚 → 西雅图),从 Sign-in 和 Audit Logs 中重建完整的攻击时间线,并执行了完整的 IR 周期——抑制 → 根除 → 恢复 → 记录。
**→ 无需恶意软件。无需漏洞利用。仅凭时机、被盗凭证和配置不当的访问控制。**
[](https://github.com/shank078/azure-identity-security-lab)
### 🔎 Splunk SOC 检测实验室
在 Azure 上独立部署 Splunk Enterprise SIEM,捕获针对暴露 Windows Server 的实时暴力破解攻击。通过自定义 SPL 查询将 EventID 4625 → 4740(失败登录 → 锁定生命周期)进行关联。接入 28,963 多个事件。隔离了分布在全球 3 个国家的 4 个攻击者 IP。当攻击者成功锁定管理员账户时,通过 Azure RunCommand 进行了紧急账户恢复。
**→ 接入 28,963 个事件 · 隔离 4 个攻击者 IP · 执行了实时事件响应**
[](https://github.com/shank078/splunk-soc-detection-lab)
### 🚌 实时车队遥测 Pipeline — Microsoft Fabric
在实时流式传输的交通遥测数据上构建了实时异常检测 pipeline——采用与 Sentinel 分析规则相同的架构,但运行在 Fabric 的 Eventstream 引擎上。对 3 个版本的 KQL 检测逻辑进行了迭代,并通过阈值调整(0 阈值 → 数分钟内 15 条垃圾警报 → >1小时 过于严格 → >30分钟 最优)解决了警报疲劳问题。案例圆满解决 ✅
**→ 将 Microsoft Sentinel 分析规则中的 KQL 模式应用于实时 IoT 流数据**
[](https://github.com/shank078/fabric-fleet-telemetry-pipeline)
## 📜 认证
| 认证 | 颁发机构 | 状态 |
|---|---|---|
| 🔵 Blue Team Level 1 (BTL1) | Security Blue Team | 进行中 — 目标 2026 年第四季度 |
| 🔵 SC-200: Security Operations Analyst | Microsoft | 准备中 — 目标 2026 年第三季度 |
| 🔵 CompTIA Security+ | CompTIA | 已预约考试 — 2026 年 7 月 |
| ✅ Pre Security | TryHackMe | 已于 2026 年 5 月完成 |
## 🎓 教育背景
**信息技术硕士(网络安全)**
Charles Sturt University · GPA 4.92
*数字取证 · 云安全 · 威胁情报 · 暗网 · 数据挖掘*
**计算机科学与数学学士**
Birendra Multiple Campus · 一等荣誉
## 💼 工作经历
**IT 支持专家** — Extratech *(2025 年 6 月 – 至今)*
每日处理 30 多项升级工单 · 通过 Entra ID 进行 IAM 和 RBAC 管理 · 通过 Intune 进行 endpoint 管理 · 遵循 ASD Essential Eight 标准
**运营支持专家** — Calvary Hospital *(2022 年 7 月 – 2025 年 5 月)*
临床数据完整性 · 100% 符合《澳大利亚隐私原则》 · 整个任期内零数据泄露
*不断构建。不断学习。对澳大利亚的初级 SOC 分析师机会持开放态度。*
[](https://linkedin.com/in/shankarbaral1)
标签:AI合规, SOAR, URL发现, 个人主页, 安全检测, 安全运营, 扫描框架, 简历, 红队行动