Benjaminoyarzun/SOC-LABS

GitHub: Benjaminoyarzun/SOC-LABS

面向蓝队 SOC 分析师的实操安全调查记录仓库,涵盖钓鱼分析、日志审查、内存取证和横向移动检测等典型事件响应场景。

Stars: 0 | Forks: 0

# SOC-Labs 专注于事件响应、日志分析、内存取证、钓鱼检测和网络流量调查的蓝队实验室实操安全调查合集。 ## 概述 本代码库包含了作为实践网络安全培训一部分、使用 CyberDefenders 和 Let'sDefend 等平台完成并记录的安全调查。 这些调查的目的是培养和展示基本的 SOC(安全运营中心)技能,包括: * 日志分析 * 内存取证 * Windows 进程分析 * 事件分诊 * 网络流量分析 * 时间线重建 * IOC 识别 * 威胁狩猎基础 * 严重性评估 * 升级决策 * MITRE ATT&CK 映射 ## 调查 ### 钓鱼分析 (Let'sDefend) 对冒充 PayPal 的钓鱼邮件的调查。 **主要活动:** * 邮件分诊 * 发件人验证 * URL 分析 * IOC 识别 * 事件分类 **展示技能:** * 钓鱼检测 * 邮件分析 * 安全分诊 ### Hammered (CyberDefenders) 使用身份验证和 Web 服务器日志对受损 Linux 主机进行的调查。 **主要发现包括:** * 可疑的 SSH 身份验证 * 权限提升活动 * Root 账户修改 * 通过创建特权账户建立持久性 **展示技能:** * Linux 日志分析 * SSH 调查 * 权限提升检测 * 时间线重建 ### PsExec (CyberDefenders) 对涉及疑似横向移动活动的数据包捕获的调查。 **主要发现包括:** * SMB 管理共享访问 * PsExec 服务部署 * 通过 SVCCTL 创建远程服务 * 与主机间横向移动一致的证据 **展示技能:** * Wireshark 分析 * SMB 调查 * 网络流量分析 * 横向移动检测 ### Reveal (CyberDefenders) 使用 Volatility 3 对受损 Windows 系统进行的内存取证调查。 **主要发现包括:** * 隐藏的 PowerShell 执行 * LOLBin 滥用(PowerShell、net.exe 和 rundll32) * 远程 WebDAV 连接 * 与外部主机的活跃 TCP 通信 * 尝试从远程 WebDAV 共享执行 DLL **展示技能:** * 内存取证 * Volatility 3 * Windows 进程分析 * 进程树分析 * 命令行分析 * 网络工件关联 * IOC 识别 * MITRE ATT&CK 映射 ## 仓库结构 每项调查包含: * README.md * 发现 * 时间线 * 攻陷指标 (IOC) * 内存分析*(如适用)* * 网络分析*(如适用)* * MITRE ATT&CK 映射 * 建议 * 调查笔记 / 原始分析 ``` SOC-Labs/ │ ├── phishing-analysis/ ├── hammered-log-analysis/ ├── psexec-lateral-movement/ ├── reveal-memory-forensics/ └── tools-and-notes/ ``` ## 使用的工具 * Volatility 3 * Wireshark * Kali Linux * VSCode * CyberDefenders * Let'sDefend ## 当前重点 目前正通过以下方面培养实用的 SOC 分析师技能: * 事件调查 * 内存取证 * 日志分析 * 网络流量分析 * 威胁检测与狩猎 * Windows 和 Linux 安全分析 ## 免责声明 这些调查均在受控的实验室环境中进行,仅供教育目的。分析、发现和建议旨在展示 SOC 调查方法和技术文档技能。 本代码库仅用于教育和作品集目的。所有调查均在受控的培训环境和网络安全实验室平台内进行。
标签:PE 加载器, Web报告查看器, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 自动化脚本, 防御加固