MrVinco/soc-analyst-portfolio

# SOC Analyst 项目作品集 该仓库包含实战化的 SOC Analyst 项目，主要侧重于 SIEM 监控、Windows 安全日志、威胁检测、网络钓鱼分析、凭据攻击检测、网络取证、IOC 提取以及 MITRE ATT&CK 映射。 本作品集旨在通过文档化的实验、截图、检测逻辑、分析师风格的报告以及安全调查工作流，展示实用的蓝队技能。 ## 作品集概述 | 领域 | 重点关注 | | --------------------------- | -------------------------------------------------------------------------------- | | SIEM 监控 | Splunk 搜索、仪表板和日志分析 | | 端点安全 (Endpoint Security) | Windows 事件日志、Sysmon、PowerShell 活动和服务创建 | | 凭据攻击检测 | 密码猜测、密码喷射、撞库、账户锁定 | | 网络钓鱼分析 | 电子邮件头审查、可疑 URL 分析、IOC 提取、安全调查 | | 网络取证 | Wireshark、TShark、PCAP 审查、HTTP 流量分析、C2 Beaconing | | 威胁映射 | MITRE ATT&CK 技术映射 | | 报告 | 基于 Markdown 的事件报告和调查摘要 | ## 项目 | 序号 | 项目 | 重点关注 | | --- | ----------------------------------------------------------------------- | ----------------------------------------------------------------------------------------------------- | | 1 | [使用 Splunk、Sysmon 和 Windows 日志的 SOC 家庭实验室](soc-home-lab/) | SIEM 设置、Windows 事件日志、Sysmon、仪表板和 SPL 检测 | | 2 | [暴力破解和凭据攻击检测](brute-force-detection/) | 密码猜测、密码喷射、撞库和账户锁定检测 | | 3 | [网络钓鱼电子邮件分析作品集](phishing-analysis/) | `.eml` 审查、电子邮件头分析、IOC 提取、URL 消除武器化和 MITRE ATT&CK 映射 | | 4 | [使用 Wireshark 进行网络流量分析](wireshark-network-forensics/) | PCAP 分析、HTTP C2 Beaconing、TShark、TCP 数据流审查、IOC 提取和 MITRE ATT&CK 映射 | ## MITRE ATT&CK 覆盖范围 | 项目 | 技术 ID | 技术名称 | 检测/分析内容 | | -------------------------------------------------- | ------------ | ------------------------ | ----------------------------------------------------------------------- | | 使用 Splunk、Sysmon 和 Windows 日志的 SOC 家庭实验室 | T1059.001 | PowerShell | 使用 Windows 和 Sysmon 日志记录的可疑 PowerShell 执行活动 | | 使用 Splunk、Sysmon 和 Windows 日志的 SOC 家庭实验室 | T1110.001 | 密码猜测 | 指示暴力破解行为的多次失败登录尝试 | | 使用 Splunk、Sysmon 和 Windows 日志的 SOC 家庭实验室 | T1543.003 | Windows 服务 | 可疑的 Windows 服务创建活动 | | 暴力破解和凭据攻击检测 | T1110.001 | 密码猜测 | 针对单个账户的重复失败登录尝试 | | 暴力破解和凭据攻击检测 | T1110.003 | 密码喷射 | 在多个用户账户中尝试同一个密码 | | 暴力破解和凭据攻击检测 | T1110.004 | 撞库 | 失败登录后的成功身份验证活动 | | 网络钓鱼电子邮件分析作品集 | T1566.001 | 鱼叉式钓鱼附件 | 涉及可疑基于附件投递的网络钓鱼邮件分析 | | 网络钓鱼电子邮件分析作品集 | T1566.002 | 鱼叉式钓鱼链接 | 可疑 URL 提取、消除武器化和安全预览分析 | | 使用 Wireshark 进行网络流量分析 | T1071.001 | Web 协议 | 用于可疑命令与控制 (C2) 通信的 HTTP POST 流量 | | 使用 Wireshark 进行网络流量分析 | T1219 | 远程访问软件 | 在可疑网络流量中观察到的 NetSupport Manager User-Agent | | 使用 Wireshark 进行网络流量分析 | T1105 | 入口工具转移 | 在流量分析期间审查的可能工具传输行为 | ## 展示技能 * SOC 分析 * SIEM 监控 * Splunk SPL 搜索 * Windows 安全日志分析 * Sysmon 事件分析 * PowerShell 活动审查 * 暴力破解检测 * 密码喷射检测 * 撞库检测 * 账户锁定调查 * 网络钓鱼邮件分析 * 电子邮件头审查 * IOC 提取和消除武器化 * Wireshark 数据包分析 * TShark 命令行分析 * TCP 数据流审查 * C2 Beaconing 识别 * MITRE ATT&CK 映射 * 事件报告撰写 * 安全文档记录 ## 使用的工具 | 工具 | 用途 | | -------------------- | --------------------------------------------------------- | | Splunk | SIEM 日志摄取、搜索、仪表板和检测 | | Sysmon | 端点遥测数据收集 | | Windows 事件查看器 | Windows 安全、系统和 Sysmon 日志审查 | | PowerShell | 实验室模拟和安全测试 | | Thunderbird | 安全的 `.eml` 电子邮件审查 | | Sublime Text | 原始电子邮件头和工件检查 | | URL2PNG | 可疑 URL 的安全预览 | | Wireshark | 数据包和 PCAP 分析 | | TShark | 命令行 PCAP 解析 | | MITRE ATT&CK | 威胁行为映射 | | Markdown | 安全报告和项目文档 | | CSV | IOC 跟踪和调查摘要 | ## 主 IOC 跟踪 包含一个根级别的 IOC 跟踪器，用于汇总已完成项目中的指标和工件。 | 文件 | 用途 | | ------------------------------------------ | ------------------------------------------------------------------------- | | [ioc-master-list.csv](ioc-master-list.csv) | 集中跟踪所有已完成作品集项目的 IOC 和工件 | 该 IOC 跟踪器在必要时使用了安全和消除武器化的值。敏感的挑战答案、恶意软件样本、网络钓鱼文件和私人调查笔记均未上传。 ## 仓库结构 | 文件夹 / 文件 | 描述 | | ------------------------------------------------------------ | ------------------------------------------------------------------------------- | | [soc-home-lab/](soc-home-lab/) | Splunk、Sysmon、Windows 日志监控、仪表板和检测规则 | | [brute-force-detection/](brute-force-detection/) | 凭据攻击模拟、检测逻辑、截图和事件报告 | | [phishing-analysis/](phishing-analysis/) | 已脱敏的网络钓鱼邮件分析工作流和公开报告 | | [wireshark-network-forensics/](wireshark-network-forensics/) | 包含 IOC 提取的 Wireshark 和 TShark PCAP 调查 | | [ioc-master-list.csv](ioc-master-list.csv) | 用于作品集全局发现的根级别 IOC 跟踪器 | | README.md | 主要作品集概述 | ## 项目安全性 该仓库仅用于防御性网络安全学习和作品集开发。 以下内容未上传： * 恶意软件样本 * 实战网络钓鱼文件 * 原始 `.eml` 网络钓鱼样本 * 包含可疑或恶意流量的 PCAP 文件 * 密码或机密 * 私人挑战答案 * 敏感的本地笔记 * 漏洞利用代码 仅包含报告、截图、检测文件、IOC 汇总、命令、过滤器和文档。 ## 当前状态 | 项目 | 状态 | | -------------------------------------------------- | --------- | | 使用 Splunk、Sysmon 和 Windows 日志的 SOC 家庭实验室 | 已完成 | | 暴力破解和凭据攻击检测 | 已完成 | | 网络钓鱼电子邮件分析作品集 | 已完成 | | 使用 Wireshark 进行网络流量分析 | 已完成 | ## 作品集未来扩展 本作品集将通过以下额外项目继续扩展： * 漏洞扫描和报告 * 事件响应模拟 * 威胁情报跟踪 * 检测工程 * 云安全监控 * AWS 和 Azure 安全实验室 * IoT 安全分析 * 安全自动化 ## 职业方向 本作品集的构建旨在支持以下职位： * SOC Analyst * 初级安全分析师 * 蓝队分析师 * 网络安全分析师 * 云安全分析师 * 安全运营分析师 ## 联系方式 GitHub: [MrVinco](https://github.com/MrVinco) 主要作品集仓库：[SOC Analyst 项目作品集](https://github.com/MrVinco/soc-analyst-portfolio)

标签：AI合规, AMSI绕过, Cloudflare, Libemu, MITRE ATT&CK, SOC分析师, 威胁检测, 钓鱼分析, 防御加固