NasserAlsaedi/SOC-Labs

# SOC 实验室作品集 ## 关于 此仓库包含 SOC 分析师家庭实验室项目和安全调查。 ## 使用的工具 - Splunk - Wireshark - Sysmon - Windows Event Viewer - VirusTotal - URLScan - TryHackMe ## 技能 - 告警分诊 - 安全事件调查 - 威胁检测 - 安全监控 - 钓鱼分析 - Windows 日志分析 - SIEM 基础 ## 调查 ### 1. RDP 暴力破解调查 - 调查了事件 ID 4624 和 4625 - 识别了多次失败尝试后的成功登录 - 分析了源 IP 活动 ### 2. 可疑 PowerShell 调查 - 调查了 PowerShell 执行活动 - 审查了父进程和命令行 - 分析了可疑行为 ### 3. 新用户创建调查 - 调查了事件 ID 4720 - 验证了账户创建活动 ### 4. 用户被添加到管理员组调查 - 调查了事件 ID 4732 - 审查了权限提升活动 ### 5. 钓鱼邮件调查 - 调查了钓鱼邮件告警 - 分析了恶意 URL - 审查了钓鱼指标 ## 实验室环境 - Windows Server - Windows 10 - Kali Linux - Splunk Enterprise - VirtualBox。

标签：AMSI绕过, 威胁检测, 安全实验室, 安全运营, 安全运营中心(SOC), 扫描框架, 速率限制