prodlovely88-ux/soc-portfolio

# Сергей Михайлов ##Junior SOC分析师/安全监控 信息安全组合，专注于SOC操作、安全事件分析、可疑活动调查和安全监控自动化。 我通过日志分析、事件分类、调查流程、活动链重建、MITRE ATT&CK映射和结构化分析师报告来培养实用的蓝队技能。 ##简历/履历 - [简短简历俄语，PDF](cv/export/Sergey_Mikhailov_Junior_SOC_CV_RU_SHORT.pdf) - [简短简历俄语，DOCX](cv/export/Sergey_Mikhailov_Junior_SOC_CV_RU_SHORT.docx) - [简短简历英语，PDF](cv/export/Sergey_Mikhailov_Junior_SOC_CV_EN_SHORT.pdf) - [简短简历英语，DOCX](cv/export/Sergey_Mikhailov_Junior_SOC_CV_EN_SHORT.docx) - [完整简历俄语](cv/Sergey_Mikhailov_Junior_SOC_CV_RU.md) - [完整简历英语](cv/Sergey_Mikhailov_Junior_SOC_CV_EN.md) ##核心焦点 - Windows安全日志分析 - Sysmon调查 - 事件分类 - 可疑PowerShell检测 - RDP活动分析 - IOC提取和丰富 - MITRE ATT&CK映射 - Python/PowerShell自动化 - 基于Linux的工作流程 - 安全监控基础 ##项目 ###[Windows安全日志分类](projects/windows-security-log-triage.md) 基于PowerShell的工具，用于分析Windows安全事件ID 4688并对可疑进程活动进行初步分类。 **实现功能：** - 进程创建事件分析； - 父进程→子进程链分析； - 可疑PowerShell标志检测； - 发现命令识别； - 可疑仅过滤； - CSV报告生成。 **技能：**Windows安全日志、事件ID 4688、PowerShell、进程分析、SOC分类。 **仓库：** https://github.com/prodlovely88-ux/windows-security-log-triage ###[IOC日志丰富器](projects/ioc-log-enricher.md) 基于Python的工具，用于从日志中提取公共IP地址，执行上下文感知的IOC分类，并通过AbuseIPDB丰富指标。 **实现功能：** - 从日志中提取IPv4； - 过滤私有、本地和保留地址； - 指标频率计数； - 日志行上下文分析； - AbuseIPDB丰富； - 可读的console报告； - CSV导出。 **技能：**Python、日志分析、IOC分类、威胁情报、AbuseIPDB API、CSV报告。 **仓库：** https://github.com/prodlovely88-ux/ioc-log-enricher ##调查案例研究 实际的案例研究以SOC分类/分析师报告格式编写：严重性、结论、证据、分析、MITRE ATT&CK、下一步检查和推荐措施。 ###[案例01：良性打印机活动](case-studies/case-01-benign-printer-activity.md) 分析与用户访问打印机相关的合法网络活动。 **此案例展示：** - 区分良性活动与可疑活动的技能； - 仔细分类，避免不必要的升级； - 理解网络事件上下文。 ###[案例02：RDP和PowerShell调查](case-studies/case-02-rdp-powershell-investigation.md) 调查多个失败的登录尝试，随后成功的RDP登录和PowerShell执行。 **此案例展示：** - 事件ID 4624/4625分析； - 登录类型10审查； - 可疑RDP活动调查； - 带有风险标志的PowerShell活动审查； - 将可疑活动与已确认事件分开。 ###[案例03：办公恶意软件事件](case-studies/case-03-office-malware-incident.md) 调查Microsoft Office → PowerShell → Temp脚本 → 外部连接 → 持久性链。 **此案例展示：** - 可疑进程链分析； - PowerShell滥用模式检测； - 外部连接审查； - 持久性指标识别； - CRITICAL结论推理； - 隔离和升级建议。 ##实用技能 ###安全监控 - 初始警报分类； - 噪音/可疑/事件分类； - 基于证据的日志分析； - 分析师结论编写； - 下一步检查和推荐措施。 ###Windows安全日志 - 事件ID 4624、4625、4634、4688； - 成功和失败的登录分析； - 登录类型分析； - RDP活动调查； - 进程创建分析； - 根据时间和登录ID进行关联。 更多信息：[Windows安全日志](skills/windows-security-logs.md) ###Sysmon - 事件ID 1：进程创建； - 事件ID 3：网络连接； - 事件ID 11：文件创建； - ProcessGuid关联； - 进程创建→网络连接→文件创建分析； - Office→PowerShell调查场景。 更多信息：[Sysmon](skills/sysmon.md) ###MITRE ATT&CK - 执行； - 持久性； - 发现； - 横向移动； - 命令和控制； - 初始访问； - 已确认与可能的映射。 更多信息：[MITRE ATT&CK](skills/mitre-attck.md) ###Linux/自动化 - Linux终端工作流程； - Git； - Bash基础知识； - Python脚本； - PowerShell脚本； - 日志解析； - CSV报告； - API集成。 更多信息：[Linux](skills/linux.md) ##当前发展重点 当前重点领域： - SIEM基础； - 检测规则； - SOC用例； - 警报分类； - 威胁狩猎基础； - 事件响应工作流程； - 实践调查； - 为Junior SOC/SOC L1/安全监控角色做准备。 更多信息：[学习进度](certifications/learning-progress.md) ##职业目标 寻求Junior SOC分析师/SOC L1/安全监控分析师职位，并在蓝队操作、威胁检测、事件分类和安全运营方面进一步发展。

标签：AI合规, BurpSuite集成, 逆向工具