AndyWeSec/SOC-Simulator-Phishing

# SOC-Simulator-Phishing 一个模拟企业钓鱼攻击向量的端到端事件响应实验室。文档涵盖了邮件头分类、恶意 payload 哈希提取，以及使用 VirusTotal 进行威胁情报查询，并结合蓝队的检测工程、日志摄取和 Elastic SIEM 中的告警生成。 ### 使用的工具 * **训练平台:** [TryHackMe SOC Simulator](https://tryhackme.com/soc-sim/scenarios) * **SIEM 平台:** [Elastic Security](https://elastic.co) * **威胁情报:** [VirusTotal](https://www.virustotal.com/gui/home/upload) ### SOC 钓鱼模拟器与事件响应实验室 * **攻击模拟:** 在隔离的沙箱环境中模拟企业钓鱼攻击向量，以生成真实的端点和网络遥测数据。 * **威胁情报:** 分析原始邮件头并提取恶意 payload 哈希，利用 **[VirusTotal](https://www.virustotal.com/gui/home/upload)** 验证入侵指标。 * **SIEM 检测工程:** 在 **[Elastic SIEM](https://elastic.co)** 中开发自定义查询和告警规则，以检测后渗透活动、可疑进程派生以及未经授权的网络连接。 * **SOC 分析师工作流:** 通过 **[TryHackMe SOC Simulator](https://tryhackme.com/soc-sim/scenarios)** 完成实战培训，掌握实时队列管理、告警优先级排序和威胁分类。 #### 获得的核心能力： * **邮件工件分类:** 识别高级社会工程学危险信号、 typosquatted 域名、伪造发件人以及伪装的恶意超链接。 * **日志分析与关联:** 交叉比对端点事件和网络代理日志，以追踪用户对链接诱饵的点击行为。 * **事件分类:** 区分真阳性和假阳性，起草全面、结构化的蓝队事件报告。 # 步骤与操作 # 告警 1 - 经过 Elastic (SIEM) 和 VirusTotal 调查后的假阳性 # 告警 2 - 真阳性，邮件中的链接在 VirusTotal 上被识别为威胁。 # 告警 3 - 防火墙被突破后的真阳性 # 告警 4 - 真阳性，收到伪装成 Microsoft 的公司邮件，且其包含的链接被标记为威胁。 # 模拟结果

标签：威胁情报, 安全运营, 库, 应急响应, 开发者工具, 扫描框架, 钓鱼攻击分析