ms-sec/incident-response-labs

# 蓝队与事件响应作品集 欢迎访问我的安全分析与威胁狩猎代码库。这里作为一个持续更新的作品集，记录了在模拟企业环境中进行的实战安全调查、数字取证和事件分类。 我的分析重点是将原始的端点、网络和云遥测数据，转化为符合行业标准的结构化企业级事件报告。 ## 🛠️ 核心技术技能矩阵 * **日志分析与审计：** Microsoft Sysmon、Windows Event Forwarding (WEF)、ETW Providers。 * **框架对齐：** MITRE ATT&CK Matrix、Cyber Kill Chain、NIST SP 800-61。 * **威胁狩猎重点：** Living-off-the-Land (LotL) 检测、进程谱系追踪、恶意 PowerShell 参数解析。 * **文档编写：** 企业级事件分类报告、根本原因分析 (RCA)。 ## 📂 活动案件调查索引 ## | 案件 ID | 事件类型 | 主要日志来源 | 检测到的关键技术 | 状态 | | :--- | :--- | :--- | :--- | :--- | | **[CASE-001](./Case-001-Sysmon-ReverseShell/)** | 交互式 C2 反向 Shell | Sysmon (IDs 1, 3) | Living-off-the-Land、PowerShell `IEX` | **已完成** | | **[CASE-002](./Case-002-SSH-BruteForce/)** | 外部 SSH 密码喷洒与入侵 | systemd-journald (Linux Logs) | 自动化字典攻击、Hydra | **已完成** | ## 🎯 作品集目标 本代码库中记录的每个案件都遵循严格的企业响应生命周期： 1. **模拟：** 在受控的虚拟环境中执行攻击链。 2. **遥测收集：** 配置细粒度的日志策略（例如，自定义的 Sysmon 配置），以从基线噪声中分离出恶意足迹。 3. **分类与调查：** 提取入侵指标、重构时间线，并将行为模式映射到 MITRE ATT&CK。 4. **报告：** 撰写专业级报告，概述执行摘要、技术根本原因和防御性修复策略。 📫 **联系我：** https://www.linkedin.com/in/muhammad-saad-012390407/ | saadkh5511@gmail.com

标签：AI合规, 域环境安全, 安全报告, 库, 应急响应, 数字取证, 自动化脚本