Systech2021-1952/SOC-Roadmap

# SOC 分析师学习路线图 # 关于本仓库 本仓库专为以下人员设计： - 网络安全初学者 - SOC 分析师 - 蓝队成员 - 威胁猎人 - 检测工程师 本路线图重点关注： - 真实的 SOC 工作流 - 告警调查 - SIEM 分析 - 云端调查 - MITRE ATT&CK 映射 - KQL 和 SPL 查询 - 事件响应 - SOC 自动化 # SOC 分析师学习路径 ## 第一阶段 — IT 基础 学习： - 网络基础 - TCP/IP - DNS - HTTP/HTTPS - 操作系统 - Linux 基础 - Windows 事件日志 - Active Directory 基础 工具： - Wireshark - Windows 事件查看器 - Linux 终端 ## 第二阶段 — 安全基础 学习： - CIA 三要素 - 身份验证 - 授权 - MFA - VPN - 恶意软件类型 - 网络钓鱼 - MITRE ATT&CK 框架 理解： - 初始访问 - 持久化 - 权限提升 - 防御规避 - 横向移动 ## 第三阶段 — SIEM 与日志分析 学习： - SIEM 基础 - 日志收集 - 关联规则 - 告警分类 - IOC 分析 平台： - Microsoft Sentinel - Splunk - QRadar - Elastic 日志来源： - Windows 日志 - Azure AD 日志 - 防火墙日志 - EDR 告警 - VPN 日志 - 邮件安全日志 ## 第四阶段 — SOC 调查 调查： - 不可能旅行 - MFA 疲劳攻击 - 暴力破解攻击 - 密码喷洒 - 可疑的收件箱规则 - OAuth 滥用 - 恶意软件告警 - Beaconing 活动 - 权限提升 - VPN 异常 技能： - 事件分类 - 时间线分析 - IOC 富化 - 用户验证 - 升级处理 ## 第五阶段 — 云安全 学习： - Azure 基础 - AWS 基础 - Microsoft Entra ID - Microsoft Defender XDR - 条件访问 - 身份保护 调查： - 风险用户 - 不可能旅行 - Token 窃取 - OAuth 应用滥用 - 可疑登录 ## 第六阶段 — 威胁狩猎 学习： - IOC 狩猎 - 威胁情报 - KQL 查询 - SPL 查询 - 进程树分析 - 注册表分析 - PowerShell 调查 狩猎目标： - LOLBins - 编码的 PowerShell - 持久化 - 可疑的父子进程 - 命令与控制 (C2) 活动 ## 第七阶段 — 检测工程 学习： - 检测逻辑 - Sigma 规则 - KQL 检测 - SPL 检测 - MITRE 映射 构建检测针对： - 密码喷洒 - MFA 疲劳攻击 - 可疑的 PowerShell - 权限提升 - VPN 滥用 - 持久化机制 ## 第八阶段 — SOC 自动化 学习： - 用于 SOC 的 Python - API - SOAR 概念 - 告警富化 - 自动化工作流 项目： - IOC 富化工具 - VirusTotal 检查器 - 告警自动分类 - 威胁情报聚合器 - 自动化邮件分析器 # 推荐实验室 ## 初级 - TryHackMe - LetsDefend - Microsoft Learn ## 中级 - Hack The Box - CyberDefenders - Blue Team Labs Online # 认证 ## 初级 - Google Cybersecurity Certificate - Security+ - SC-900 ## 中级 - SC-200 - CySA+ - BTL1 ## 高级 - GCIA - GCIH - CISSP # 真实调查场景 本仓库还将包含： - 真实的 SOC 调查示例 - KQL 查询 - 检测逻辑 - MITRE ATT&CK 映射 - 事件时间线 - IOC 分析 - 升级说明 # SOC 分析师日常安排 典型的 SOC 工作流： 1. 监控告警 2. 对事件进行分类 3. 验证可疑活动 4. 执行 IOC 分析 5. 关联日志 6. 升级已确认的威胁 7. 记录发现 8. 改进检测 # 学习资源 ## Microsoft https://learn.microsoft.com/ ## MITRE ATT&CK https://attack.mitre.org/ ## Splunk 培训 https://www.splunk.com/en_us/training.html ## Wireshark https://www.wireshark.org/ # 未来计划 计划内容： - 检测工程实验室 - KQL 速查表 - SOC 自动化脚本 - 威胁狩猎手册 - 事件响应模板 - SOC 分析师面试题 - 真实攻击时间线 # 与我联系 我致力于创作 SOC 调查内容、真实告警分析以及网络安全学习视频。 请关注我的旅程，我会在此记录真实的 SOC 工作流和调查过程。

标签：学习路线图, 安全运营中心(SOC), 管理员页面发现, 网络安全, 逆向工具, 隐私保护