agustus9/Security-Operations-Incident-Response

# 🛡️ 安全运营与事件响应沙箱 ## 🏗️ SOC 遥测与工程矩阵 | 分析领域 | 平台引擎 | 核心与查询语法 | 企业安全产品组合 | | :--- | :--- | :--- | :--- | | 🛡️ **网络安全监控** | Splunk Enterprise | SPL 与高级事件链 | [企业安全套件](./01-Splunk-Firewall-Dashboard) | | 🔍 **威胁检测** | Microsoft Sentinel | KQL 与多源关联 | [威胁检测工作区](./02-Microsoft-Sentinel-KQL) | | 📊 **日志分析** | IBM QRadar | AQL 与特权审计 | [日志分析工作区](./03-IBM-QRadar-AQL) | | 💻 **终端防御** | EDR / Sysmon | 行为调优与规则设计 | [终端防御工作区](./04-Endpoint-Defense) | ### 🌐 企业网络安全监控套件（Splunk Enterprise） 利用 BOTS v1 数据集，集中呈现边界流量模式与网络入侵的可视化信息。 * 🧱 **[Fortigate 防火墙流量分析](./01-Splunk-Firewall-Dashboard)：** 监控基线边界流量、入站连接量及地理来源，以检测侦察行为。 * 🚨 **[Suricata 入侵检测 (IDS/IPS) 中心](./01-Splunk-Firewall-Dashboard/suricata_ids_dashboard.xml)：** 实时分析基于特征的恶意活动、攻击模式及活跃的协议利用行为。 ### 🎯 云与混合威胁检测引擎（Microsoft Sentinel） 内置生产就绪的 Kusto 查询语言 (KQL) 分析，旨在跨企业基础设施识别高保真、可操作的威胁。 * 🔑 **[暴力破解账户接管检测](./02-Microsoft-Sentinel-KQL)：** 将连续的 Windows 安全事件登录失败与同一实体随后的成功身份验证事件进行关联。 ### 📊 企业日志分析模块（IBM QRadar） 利用 Ariel 查询语言 (AQL) 进行高级日志解析，监控 Linux 基础设施中的内部威胁和配置漂移。 * 🔑 **[权限提升与 Sudo 审计](./03-IBM-QRadar-AQL)：** 跟踪非 root 用户通过 `sudo` 执行管理命令，以发现受感染账户或策略违规行为。 ### 💻 行为终端防御工作区（EDR/Sysmon） 基于 Sigma/YAML 语法建模的检测工程模式，聚焦于终端可视性、恶意进程跟踪及“就地取材”技术。 * ⚙️ **[可疑的编码 PowerShell 执行](./04-Endpoint-Defense)：** 标记 PowerShell 以隐藏或 base64 编码字符串启动的实例，这是基于脚本的恶意软件部署的常见手法。

标签：AMSI绕过, AQL, BurpSuite集成, EDR, Fortigate, IBM QRadar, IDS/IPS, KQL, Microsoft Sentinel, SPL, Suricata, Sysmon, 免杀技术, 入侵检测系统, 分析, 威胁情报, 威胁检测, 安全信息与事件管理, 安全数据湖, 安全运营, 开发者工具, 扫描框架, 搜索引擎爬取, 日志解析, 暴力破解检测, 检测, 特权审计, 现代安全运营, 监控, 端点防御, 网络安全, 脆弱性评估, 行为调优, 规则设计, 证书伪造, 速率限制, 遥测工程, 隐私保护