andrewesley1211/soc-analyst-labs

# SOC Analyst 实验室 ### 安全运营中心 (SOC) 实战培训作品集 [](#) [](#) [](#) ## 概述 此代码库记录了我的**SOC 分析师实战培训实验室**，旨在模拟一级 (Tier 1) / 二级 (Tier 2) 分析师日常遇到的真实安全事件。这些实验的结构旨在展示与 **MITRE ATT&CK 框架**和 **NIST SP 800-61** 事件处理指南相一致的检测、调查和响应能力。 **目标岗位：** SOC 分析师（Tier 1 / Tier 2），安全运营工程师 ## 实验索引 | 实验 | 标题 | 工具 | MITRE 战术 | 难度 | |---|---|---|---|---| | [实验 01](./lab-01-splunk-siem-setup/) | SIEM 设置与日志摄取 | Splunk | TA0007 Discovery | 中级 | | [实验 02](./lab-02-network-traffic-analysis/) | 网络流量分析 | Wireshark, Nmap | TA0011 C2 | 中级 | | [实验 03](./lab-03-phishing-investigation/) | 钓鱼邮件调查 | Splunk, VirusTotal, MXToolbox | TA0001 Initial Access | 高级 | | [实验 04](./lab-04-malware-analysis/) | 恶意软件行为分析 | Any.run, FLOSS, Strings | TA0002 Execution | 高级 | ## 学习目标 - 配置和查询 SIEM 以检测异常行为 - - 分析数据包捕获以识别命令与控制 (C2) 流量 - - 调查钓鱼活动，从邮件头分析到 IOC 提取 - - 进行静态和动态恶意软件分析以识别威胁行为 - - 以专业且适合招聘人员查阅的调查报告形式记录发现 使用的工具 SIEM: Splunk (免费版 / TryHackMe Labs) 网络分析: Wireshark, Nmap, NetworkMiner 威胁情报: VirusTotal, AbuseIPDB, AlienVault OTX 邮件分析: MXToolbox, PhishTool, Email Header Analyzer 恶意软件分析: Any.run, FLOSS, PEStudio, strings (Linux) 框架: MITRE ATT&CK, NIST SP 800-61, Cyber Kill Chain 代码库结构 soc-analyst-labs/ README.md lab-01-splunk-siem-setup/ README.md screenshots/ spl-queries.md lab-02-network-traffic-analysis/ README.md screenshots/ pcap-findings.md lab-03-phishing-investigation/ README.md screenshots/ ioc-report.md lab-04-malware-analysis/ README.md screenshots/ malware-behavior-report.md 相关资源 - [事件响应代码库](../incident-response/) - - [云安全项目](../cloud-security-aws/) - - [NIST CSF 差距分析](../nist-csf-gap-analysis/)

标签：AMSI绕过, CTI, DAST, SOC分析师培训, 威胁检测, 安全运营, 恶意软件分析, 扫描框架