mahmed2017/SOC-Incident-Response-Project

# 企业威胁检测与事件响应平台 ## 凭据攻击至恶意软件沦陷调查     ## 概述 本仓库记录了针对 **Nexora Financial Services**（一家虚构的中型金融机构）进行的全生命周期 SOC 调查。该事件从外部凭据攻击开始，历经账号失陷、恶意软件部署以及攻击者建立持久性，最终被 SOC 团队检测并遏制。 本项目按照真实的 SOC 调查仓库结构构建，旨在展示企业层面的检测工程、威胁情报富化、恶意软件分析和事件响应能力。 ## 组织概况 — Nexora Financial Services | 属性 | 详情 | |---|---| | **行业** | 金融服务 / 金融科技 | | **员工规模** | ~1,400 | | **总部** | 芝加哥, 伊利诺伊州 | | **网络环境** | 混合架构 — 本地 AD + Azure AD，AWS 工作负载 | | **核心资产** | 核心银行 API，客户 PII 数据库，资金部门工作站 | | **SIEM** | Microsoft Sentinel | | **EDR** | CrowdStrike Falcon | | **电子邮件安全** | Proofpoint TAP | | **身份认证** | Windows Active Directory + Azure AD (Entra ID) | | **端点日志** | Sysmon v14, Windows Event Forwarding | | **威胁情报** | MISP, VirusTotal Enterprise, Recorded Future | | **漏洞管理** | Tenable.io | | **PAM** | CyberArk | | **DLP** | Microsoft Purview | ## 攻击生命周期总结 ``` [Stage 1] Password Spraying → External attacker targets OWA/VPN portal [Stage 2] Account Compromise → jharris@nexora.com credentials valid [Stage 3] Suspicious Auth Activity → MFA bypass via legacy auth protocol [Stage 4] Malware Delivery → Phishing email with malicious Excel macro [Stage 5] Malware Execution → Cobalt Strike beacon (stageless) [Stage 6] Persistence → Registry Run key + scheduled task creation [Stage 7] Detection → SOC alert escalated to INC-2024-0847 ``` ## Kill Chain 映射 | 阶段 | 活动 | 状态 | |---|---|---| | 侦察 | 针对员工 LinkedIn 资料的 OSINT | 检测前 | | 武器化 | 封装在 Excel 宏中的 Cobalt Strike 载荷 | 检测前 | | 投递 | 发送至 jharris@nexora.com 的鱼叉式网络钓鱼邮件 | 检测前 | | 利用 | CVE-2021-40444 MSHTML + 宏执行 | 已检测 | | 安装 | Beacon DLL 释放至 `%APPDATA%\Microsoft\` | 已检测 | | C2 | 通过 443 端口发往 `cdn-deliver.cloud` 的 HTTPS beacon | 已阻断 | | 目标行动 | 内部侦察，横向移动尝试 | 已遏制 | ## 仓库结构 ``` Enterprise-SOC-Incident-Response/ ├── README.md ← You are here ├── Incident_Report/ │ ├── executive_summary.md ← C-suite briefing document │ ├── timeline.md ← Full chronological incident timeline │ ├── root_cause_analysis.md ← RCA using 5-why methodology │ └── remediation_plan.md ← Technical and policy remediation ├── Detection_Rules/ │ ├── sigma_rules/ ← Generic SIEM-agnostic detection rules │ ├── yara_rules/ ← Malware family detection rules │ └── siem_queries/ ← Sentinel KQL, Splunk SPL, Elastic EQL ├── Threat_Intelligence/ │ ├── IOC_Report.md ← Enriched IOC analysis │ ├── malicious_ips.csv ← IP indicators with context │ ├── file_hashes.csv ← Malware hashes │ └── domains.csv ← Malicious domains/C2 infrastructure ├── Investigation/ │ ├── authentication_analysis.md ← Auth log deep-dive │ ├── malware_analysis.md ← Full malware triage report │ └── forensic_notes.md ← Analyst working notes ├── Dashboards/ │ └── SIEM_dashboard_examples/ ← Sentinel workbook references ├── Playbooks/ │ ├── phishing_response.md ← Phishing IR playbook │ ├── malware_response.md ← Malware IR playbook │ └── account_compromise.md ← Account compromise playbook └── Screenshots/ ← Evidence artifacts (redacted) ``` ## 检测工程覆盖范围 | 检测项 | 严重程度 | MITRE 技术 | 规则类型 | |---|---|---|---| | 密码喷洒 | 高危 | T1110.003 | Sigma + KQL | | 暴力破解登录 | 中危 | T1110.001 | Sigma + KQL | | 不可能旅行 | 高危 | T1078 | KQL | | 可疑 PowerShell | 高危 | T1059.001 | Sigma | | 恶意文件执行 | 严重 | T1204.002 | YARA + Sigma | | 通过注册表建立持久性 | 高危 | T1547.001 | Sigma | | C2 通信 | 严重 | T1071.001 | KQL + 网络 | ## MITRE ATT&CK Navigator 覆盖范围 **观察到的战术：** 初始访问、执行、持久化、防御规避、凭据访问、发现、横向移动、命令与控制 **技术：** - T1566.001 — 鱼叉式钓鱼附件 - T1110.003 — 密码喷洒 - T1078 — 有效账户 - T1059.001 — PowerShell - T1547.001 — 注册表 Run 键 - T1053.005 — 计划任务 - T1071.001 — 应用层协议 (HTTPS C2) - T1057 — 进程发现 - T1082 — 系统信息发现 - T1021.002 — SMB/Windows 管理共享 ## 简历要点 适用于 SOC Analyst L1/L2 求职申请： - 调查了一起为期 14 天的入侵活动，涵盖从凭据攻击到恶意软件执行及攻击者建立持久性的全过程，产出了符合 NIST SP 800-61 标准的完整事件报告 - 开发了 7 条生产级 Sigma 和 YARA 检测规则，映射至 MITRE ATT&CK，覆盖密码喷洒、恶意 PowerShell 以及 Cobalt Strike beacon 行为 - 编写了 Microsoft Sentinel KQL、Splunk SPL 和 Elastic EQL 的 SIEM 检测查询，针对身份验证异常、进程注入和 C2 通信模式 - 对 Cobalt Strike 无阶段 beacon 执行了静态和动态恶意软件分析，识别了持久化机制、网络 IOC 和规避技术 - 使用 VirusTotal、MISP 和 Recorded Future 对涵盖 IP、域名、哈希和 URL 类别的 23 个 IOC 进行了富化，分配了威胁评级并建议了响应措施 - 依据 NIST IR 和 PICERL 框架编制了三份 SOC 手册（网络钓鱼、恶意软件、账户失陷），可随时集成至企业 SOAR 平台 - 进行了身份验证日志分析，识别出通过传统 SMTP AUTH 进行的 MFA 绕过、47 分钟内跨越 6,200 英里的不可能旅行事件，以及非工作时间 VPN 访问模式 ## 面试问题 请参阅 `Investigation/forensic_notes.md` 获取基于本项目的 20 个 SOC 分析师面试问答。 ## 框架与标准 - [MITRE ATT&CK Enterprise v14](https://attack.mitre.org/) - [NIST SP 800-61 Rev 2 — 计算机安全事件处理指南](https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-61r2.pdf) - [Cyber Kill Chain — Lockheed Martin](https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html) - [Sigma 规则 — SigmaHQ](https://github.com/SigmaHQ/sigma) - [YARA — VirusTotal](https://virustotal.github.io/yara/) *本仓库创建用于作品集与教育目的。所有组织名称、员工姓名、IP 地址及域名均为虚构。*

标签：AMSI绕过, BurpSuite集成, 企业安全, 威胁检测, 安全运营, 扫描框架, 网络资产管理