WiLL75G/CorpOps-Shell-Suite

GitHub: WiLL75G/CorpOps-Shell-Suite

WiLL75G/CorpOps-Shell-Suite 是一套针对企业安全运营的实战型检测与分析工具。

Stars: 0 | Forks: 0

# 企业运营 Shell 套件 早期职业SOC招聘中最常见的差距不是技术知识,而是分析师思维的证明。 能够运行工具的候选人到处都是。能够观察1,000个TCP连接在37毫秒内并识别行为指纹、编写捕获它的脚本、生成SIEM就绪警报、应用正确排序的防火墙响应并独立验证其效果的候选人,才是SOC经理真正想要招聘的分析师。 CorpOps Shell Suite就是为了证明这一点而构建的。 八个项目。每个项目都模拟了对实时家庭实验室环境的真实攻击技术,然后从头到尾完成防御者的工作流程。每个项目都生成一个结构化的SOC Tier 1事件报告、一个检测或分析脚本、完整的证据工件(数据包捕获、警报日志、屏幕截图)和MITRE ATT&CK映射。 这不是教程输出。这是一份Tier 1分析师为升级审查而产生的调查文档。 实验室在一个虚构的企业环境中运行 **Nexus Corp**,为每个调查提供了一个现实操作背景:攻击者主机、目标主机、端点和SIEM。 ## 实验室环境 | 组件 | 角色 | |---|---| | Kali Linux (UTM VM) | 攻击者模拟 | | Ubuntu Server (UTM VM) | 目标主机 | | Windows 11 (UTM VM) | 端点模拟 | | Splunk Enterprise (macOS主机) | SIEM / 日志分析 | ## 项目 | # | 项目 | MITRE 技术 | 状态 | |---|---|---|---| | 01 | [Nmap端口扫描检测](./Project-01-Nmap-Detection/) | T1046 网络服务发现 | ✅ 完成 | | 02 | [WebSift Web资产审计](./Project-02-WebSift-Audit/) | T1593 搜索公开网站/域名 | ✅ 完成 | | 03 | Tookie-OSINT 数字足迹 | T1589 收集受害者身份信息 | 🔄 即将推出 | | 04 | User-Scanner 电子邮件/用户名OSINT | T1589 收集受害者身份信息 | 🔄 即将推出 | | 05 | IP命令威胁情报丰富化 | T1071 应用层协议 | 🔄 即将推出 | | 06 | Whois域名欺骗检测 | T1566 钓鱼攻击 | 🔄 即将推出 | | 07 | EternalView 探测与防御映射 | T1595 活动扫描 | 🔄 即将推出 | | 08 | Python SMTP 钓鱼头分析 | T1566 钓鱼攻击 | 🔄 即将推出 | ## 项目结构 每个项目都遵循相同的文件夹约定和README格式。 ``` Project-XX-Name/ ├── README.md # SOC Tier 1 Incident Report ├── baseline/ # Pre-attack known-good state snapshots ├── scripts/ # Detection and analysis scripts ├── logs/ # Captured evidence (pcap, alert logs) └── screenshots/ # Phase-organised visual evidence ├── phase01/ └── phase02/ ``` 每个README都遵循以下锁定结构: ## 检测哲学 本套件中的每个项目都首先从 **防御者的角度**来考虑检测。 攻击模拟不是目标,而是触发器。目标是回答: - 这种技术在网络上的样子是什么? - 它在日志中留下了什么? - 你如何编写一个可靠捕获它的规则或脚本? - 你如何响应、验证修复并记录证据链? 行为检测(速率、时间、模式)优于签名检测,因为签名可以被规避,而行为则不能。 ## 栈 | 工具 | 目的 | |---|---| | Bash | 检测脚本和日志解析 | | Python | 丰富化和分析工具 | | tcpdump | 数据包捕获和pcap分析 | | Nmap | 攻击模拟(侦察) | | Splunk Enterprise | SIEM关联和仪表板 | | UFW / iptables | 主机防火墙响应 | | MITRE ATT&CK | 技术映射和文档 | ## 仓库结构 ``` CorpOps-Shell-Suite/ ├── README.md ├── Project-01-Nmap-Detection/ ├── Project-02-WebSift-Audit/ ├── Project-03-Tookie-OSINT/ ├── Project-04-User-Scanner/ ├── Project-05-IP-Threat-Intel/ ├── Project-06-Whois-Spoofing/ ├── Project-07-EternalView-Recon/ └── Project-08-SMTP-Phishing/ ``` ## 作者 William Gokah [![GitHub](https://img.shields.io/badge/GitHub-WiLL75G-181717?style=for-the-badge&logo=github&logoColor=white)](https://github.com/WiLL75G) [![X](https://img.shields.io/badge/X-%40WilliamInCyber-000000?style=for-the-badge&logo=x&logoColor=white)](https://x.com/WilliamInCyber)
标签:Cloudflare, CTI, ESC4, MITRE ATT&CK, OSINT, Unix, Web 安全, 威胁情报, 安全事件响应, 安全分析师, 安全培训, 安全实践, 安全实验室, 安全运营中心, 应用安全, 开发者工具, 插件系统, 数字足迹, 数据统计, 端口扫描, 网络安全, 网络映射, 逆向工具, 隐私保护