jeffl-hacks/soc-analyst-journey

SOC分析师投资组合 — Jeff Longe 关于 拥有10年以上在HIPAA监管环境（德克萨斯儿童医院）的临床药学技术人员，转型至网络安全。专注于SOC运营、威胁检测、事件响应和GRC。通过Harness Projects导师计划获得实战项目经验，并通过TryHackMe SOC Level 1路径进行积极自学。 医疗保健背景提供了对受监管数据环境、合规义务以及安全失败的现实后果的直接工作知识，这是健康相关雇主的一个差异化因素。 认证与资格 TryHackMe SOC Level 1路径（进行中） CompTIA Security+（计划于2026年第三季度） 项目 项目 类别 使用的工具 角色 状态 Web应用漏洞评估 漏洞评估 Nessus、Shodan、testssl.sh、Nikto 团队贡献者 — 运行Nessus扫描 完成 基础设施漏洞评估 漏洞评估 Nessus、OpenVAS、Nmap、Shodan 个人执行 + 团队交叉验证 完成 IR报告模拟 事件响应 IR框架、DLP分析、IOC文档 独立作者 完成 IR计划 — 模拟客户 事件响应规划 NIST SP 800-61、IR生命周期框架 独立作者 / 政策所有者 完成 信息安全政策 GRC / 政策 GDPR、CCPA、ISO 27001、SOC 2 政策所有者 — 主要作者 完成 技能 SIEM | Splunk | Microsoft Sentinel | Wireshark | Nmap | Nessus | KQL | SPL | MITRE ATT&CK | NIST CSF | OWASP | HIPAA | DLP | 事件响应 | 漏洞评估 | 风险评估 | GRC 项目详情 Web应用漏洞评估 类别：漏洞评估 | 日期：2024年6月-7月 作为6-8人Harness Projects团队的一部分，对商业合规平台Web应用程序进行外部黑盒漏洞评估。模拟了没有内部访问、凭证或先前知识的攻击者。 我的贡献：运行Nessus漏洞扫描；为团队分析和报告发现做出贡献。 工具：Nessus、Shodan、testssl.sh、Nikto 主要发现： 严重性 漏洞 CVE 高 SWEET32 — 通过64位块加密利用会话cookie盗窃 CVE-2016-2183 高 已弃用的TLS 1.0/1.1 + SHA1散列 — 中等 BEAST — TLS 1.0 + 3DES加密拦截 — 中等 LUCKY13 — CBC模式时间攻击 CVE-2013-0169 中等 BREACH — HTTPS响应体解密 CVE-2013-3587 信息 缺少安全头，敏感数据泄露，公开可访问的文件 — 根本原因分析：五个加密漏洞中的四个可以追溯到单一的根本原因——服务器继续支持已弃用的TLS 1.0/1.1和3DES加密。在根本处修复（强制执行TLS 1.2+和AES-GCM）将同时解决大多数发现。 MITRE ATT&CK映射： T1557 — 中间人攻击（SWEET32、BEAST、BREACH） T1190 — 利用面向公众的应用程序 T1083 — 文件和目录发现（Nikto发现） IR报告模拟 类别：事件响应 | 日期：2025年1月-3月 为模拟的关键严重性、多向量攻击场景独立编写的事件响应报告。事件ID：IR-2025-03-003。严重性：关键。 场景：检测和记录了三个同时攻击向量： 向量1 — 内部人员违规（数据泄露） 具有管理员权限的员工通过SFTP/FTP将客户PII和专有业务数据泄露到外部设备。 通过DLP系统标记异常文件访问和传输活动进行检测。 根本原因：过度未监控的管理员权限；没有最小权限执行 MITRE ATT&CK：T1078（有效账户）、T1048（通过替代协议泄露） 向量2 — DDoS攻击 针对Web门户和支付网关的僵尸网络驱动的流量攻击 在完全缓解之前造成约6小时的服务中断 在T+5分钟时启动基于云的DDoS缓解；在T+3小时时完全缓解 根本原因：缺乏主动DDoS缓解工具，流量过滤不足 MITRE ATT&CK：T1498（网络拒绝服务） 向量3 — 远程访问木马（RAT） 通过钓鱼电子邮件/恶意附件传递 启用横向移动、权限提升和网络侦察 通过内部网络传播，利用薄弱的分割和未修补的系统 根本原因：无效的电子邮件过滤、未修补的系统 MITRE ATT&CK：T1566（钓鱼）、T1021（远程服务）、T1055（进程注入） 关键分析师见解：DDoS攻击充当对抗性噪音——旨在压倒响应能力并掩盖真正目标：同时发生的内部人员违规和RAT部署。 记录的交付成果：执行摘要、带时间戳的事件/操作表的事件时间线、初始违规分析、横向移动和权限提升分析、恶意软件部署分析、取证发现、经验教训、IOC附录、缓解建议。 IR计划 类别：事件响应规划 | 日期：2025年2月-3月 为模拟的小型商业客户（5-7名员工）独立编写网络安全事件响应计划。作为政策所有者编写。使用“开发/设计”框架设计——虚构客户，AI辅助场景构建。 计划范围：所有员工、承包商和第三方服务提供商。涵盖未经授权的访问、数据泄露、钓鱼、勒索软件、DDoS、内部威胁、受损害的云账户（AWS/Google Workspace）、未修补的漏洞利用、特权账户滥用以及设备丢失/盗窃。 应用框架：NIST SP 800-61 IR生命周期（准备 → 检测 → 隔离 → 根除 → 恢复 → 事件后） 记录的关键设计决策： 定义了严重性分类层级 建立了升级路径和通信协议 解决了业务连续性和监管通知义务 针对小型组织的资源限制进行范围界定 联系 LinkedIn 基础设施漏洞评估 类别：漏洞评估 | 日期：2024年8月-9月 对一家保密医疗保健相关客户的公开可访问网络基础设施进行外部黑盒漏洞评估。独立运行所有四个工具，并与团队成员交叉验证发现。 我的贡献：独立运行Nessus、OpenVAS、Nmap和Shodan；与团队成员交叉验证发现以确认真实阳性。 工具：Nessus、OpenVAS、Nmap、Shodan 主要发现： 严重性 漏洞 CVE 关键 OpenSSH 8.2p1 — 远程代码执行，5个公开利用可用 CVE-2023-38408 高 Nginx v1.18.0 — 已知漏洞的过时Web服务器 — 高 多个安全头缺失 — 中等 不受信任/自签名SSL证书 — 中等 BREACH、SSL/TLS重协商DoS、缺少安全cookie属性 — 关键分析师见解：优先级由利用可用性驱动，而不仅仅是CVSS评分。在发现时，CVE-2023-38408有五个已确认的公开利用——使其成为立即修复优先事项，无论其他发现如何。 MITRE ATT&CK映射： T1190 — 利用面向公众的应用程序（OpenSSH、Nginx） T1046 — 网络服务扫描（Nmap枚举） T1590 — 收集受害者网络信息（Shodan侦察） T1557 — 中间人攻击（BREACH、SSL/TLS） 信息安全政策 类别：GRC / 政策 | 日期：2024年10月 作为政策所有者和主要作者，为在所有50个美国州运营的保密法律技术客户编写全面的信息安全政策。解决GDPR和CCPA合规义务。 我的贡献：安全事件报告政策的主要作者；在17个其他子政策中担任贡献作者。 框架：GDPR、CCPA、ISO 27001、SOC 2 编写了18个子政策，包括： 安全事件报告政策（主要作者） 访问控制政策 业务连续性和灾难恢复政策 第三方供应商政策 AI客户交互政策 远程工作和访问政策 合规性政策 关键设计决策：将GDPR 72小时违规通知义务直接构建到事件报告工作流程中；定义严重性层级，使每个事件都能进行一致的分类，无需高级人员参与。

标签：AES-256, AMSI绕过, Cloudflare, CTI, GRC, Harness Projects, HIPAA, KQL, Microsoft Sentinel, MITRE ATT&CK, Nessus, NIST CSF, Nmap, SPL, TryHackMe, Wireshark, 人工智能安全, 健康信息保护, 句柄查看, 合规性, 合规性评估, 威胁检测, 安全认证, 安全运营中心, 政策制定, 数据泄露防护, 模拟演练, 漏洞评估, 网络安全, 网络探测, 网络映射, 虚拟驱动器, 隐私保护