Benjaminoyarzun/SOC-LABS
GitHub: Benjaminoyarzun/SOC-LABS
面向蓝队 SOC 分析师的实操安全调查记录仓库,涵盖钓鱼分析、日志审查、内存取证和横向移动检测等典型事件响应场景。
Stars: 0 | Forks: 0
# SOC-Labs
专注于事件响应、日志分析、内存取证、钓鱼检测和网络流量调查的蓝队实验室实操安全调查合集。
## 概述
本代码库包含了作为实践网络安全培训一部分、使用 CyberDefenders 和 Let'sDefend 等平台完成并记录的安全调查。
这些调查的目的是培养和展示基本的 SOC(安全运营中心)技能,包括:
* 日志分析
* 内存取证
* Windows 进程分析
* 事件分诊
* 网络流量分析
* 时间线重建
* IOC 识别
* 威胁狩猎基础
* 严重性评估
* 升级决策
* MITRE ATT&CK 映射
## 调查
### 钓鱼分析 (Let'sDefend)
对冒充 PayPal 的钓鱼邮件的调查。
**主要活动:**
* 邮件分诊
* 发件人验证
* URL 分析
* IOC 识别
* 事件分类
**展示技能:**
* 钓鱼检测
* 邮件分析
* 安全分诊
### Hammered (CyberDefenders)
使用身份验证和 Web 服务器日志对受损 Linux 主机进行的调查。
**主要发现包括:**
* 可疑的 SSH 身份验证
* 权限提升活动
* Root 账户修改
* 通过创建特权账户建立持久性
**展示技能:**
* Linux 日志分析
* SSH 调查
* 权限提升检测
* 时间线重建
### PsExec (CyberDefenders)
对涉及疑似横向移动活动的数据包捕获的调查。
**主要发现包括:**
* SMB 管理共享访问
* PsExec 服务部署
* 通过 SVCCTL 创建远程服务
* 与主机间横向移动一致的证据
**展示技能:**
* Wireshark 分析
* SMB 调查
* 网络流量分析
* 横向移动检测
### Reveal (CyberDefenders)
使用 Volatility 3 对受损 Windows 系统进行的内存取证调查。
**主要发现包括:**
* 隐藏的 PowerShell 执行
* LOLBin 滥用(PowerShell、net.exe 和 rundll32)
* 远程 WebDAV 连接
* 与外部主机的活跃 TCP 通信
* 尝试从远程 WebDAV 共享执行 DLL
**展示技能:**
* 内存取证
* Volatility 3
* Windows 进程分析
* 进程树分析
* 命令行分析
* 网络工件关联
* IOC 识别
* MITRE ATT&CK 映射
## 仓库结构
每项调查包含:
* README.md
* 发现
* 时间线
* 攻陷指标 (IOC)
* 内存分析*(如适用)*
* 网络分析*(如适用)*
* MITRE ATT&CK 映射
* 建议
* 调查笔记 / 原始分析
```
SOC-Labs/
│
├── phishing-analysis/
├── hammered-log-analysis/
├── psexec-lateral-movement/
├── reveal-memory-forensics/
└── tools-and-notes/
```
## 使用的工具
* Volatility 3
* Wireshark
* Kali Linux
* VSCode
* CyberDefenders
* Let'sDefend
## 当前重点
目前正通过以下方面培养实用的 SOC 分析师技能:
* 事件调查
* 内存取证
* 日志分析
* 网络流量分析
* 威胁检测与狩猎
* Windows 和 Linux 安全分析
## 免责声明
这些调查均在受控的实验室环境中进行,仅供教育目的。分析、发现和建议旨在展示 SOC 调查方法和技术文档技能。
本代码库仅用于教育和作品集目的。所有调查均在受控的培训环境和网络安全实验室平台内进行。
标签:PE 加载器, Web报告查看器, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 自动化脚本, 防御加固