Vasconcellos-cipher/Blue-Team-Operations-Labs
GitHub: Vasconcellos-cipher/Blue-Team-Operations-Labs
一个蓝队安全运营实操实验室仓库,提供 SOC 分析、威胁检测、事件响应等防御性安全案例的完整技术分析与实践记录。
Stars: 0 | Forks: 0
# 🟣 Blue-Team-Operations-Labs
专注于 SOC 分析、威胁检测、事件响应、SIEM、网络和网络安全监控的蓝队安全运营实操实验室。
## 🎯 简介与目标
欢迎来到我的安全运营仓库。本仓库作为一份持续的工程日志,记录了我用于识别、清除和缓解网络威胁的分析方法。我的核心关注点包括深入的数据包分析、安全日志审查、OSINT/Threat Intelligence 编排以及主机遏制策略。
## 🛠️ 核心能力与工具集
* **日志与流量分析:** Wireshark、原始 HTTP 服务器日志、Event Viewer、Sysmon。
* **Threat Intelligence 与 OSINT:** AbuseIPDB、VirusTotal、Cisco Talos、URLHaus。
* **事件响应与缓解:** Endpoint Containment、EDR 模拟、IoC Harvesting。
* **框架映射:** MITRE ATT&CK Matrix、CWE 分类。
## 📂 安全事件与实验室数据库
此动态矩阵列出了已完成的防御性调查。点击 **Write-up 链接** 以查看完整的技术分析、净化日志和缓解策略。
| 类别 | 事件 / 案例名称 | 核心威胁 / 技术 | 状态 | 文档 |
| :--- | :--- | :--- | :--- | :--- |
| **Web Application 攻击** | IDOR - 自动化数据外泄 | CWE-639 / Parameter Fuzzing | 🟢 已完成 | [查看报告](./Web-Application-Attacks/IDOR-Automated-Exfiltration/) |
| :--- | :--- | :--- | :--- | :--- |
## 📈 方法论
仓库中的每个条目都映射至严谨的 4 步事件响应框架:
1. **分诊:** 分析告警触发器并映射流量方向性。
2. **Threat Intel 整合:** 交叉比对外部数据节点以过滤噪声。
3. **日志调查:** 深入挖掘响应代码、payload 交付和字节差异。
4. **遏制与根除:** 模拟资产隔离并概述修复代码。
💡 *持续更新,以映射最新的新兴攻击向量。*
标签:AMSI绕过, CISA项目, 威胁检测, 安全实验室, 安全运营, 库, 应急响应, 扫描框架, 数据泄露, 速率限制