imaadsoc24/advanced-soc-analyst-lab-wazuh

# 高级 SOC 分析师调查实验室 ## 概述 本项目记录了使用 Wazuh、Sysmon、Wireshark、VirusTotal 和 MITRE ATT&CK 进行的动手 SOC 调查与威胁狩猎实践。 该实验室的目标是调查可疑的端点活动、验证指标、分析进程执行事件、审查网络通信，并关联来自多个安全工具的告警，以了解完整的攻击路径。 该调查并未单独分析各个告警，而是侧重于在端点、网络和威胁情报数据之间构建上下文，以确定不同事件之间的关联。 ## 使用的工具 - Wazuh SIEM - Sysmon - Wireshark - VirusTotal - MITRE ATT&CK 框架 ## 调查活动 - 端点监控与告警分析 - Sysmon 进程创建调查 - PowerShell 执行分析 - 父子进程追踪 - 文件完整性监控 (FIM) 审查 - DNS 流量分析 - HTTPS/TLS 通信分析 - VirusTotal 信誉验证 - MITRE ATT&CK 技术映射 - 威胁狩猎与 IOC 验证 ## 关键发现 ### 可疑命令执行 通过 Sysmon 进程创建事件，识别并调查了一个 Windows 命令行 shell 进程。 ### PowerShell 活动分析 审查了多个 PowerShell 执行事件，包括进程关系和执行行为。 ### 文件创建监控 通过 Sysmon 和文件完整性监控事件，分析了在被监控目录中创建的可疑文件。 ### 网络调查 使用 Wireshark 分析了 DNS 查询、TLS 握手和出站 HTTPS 通信。 ### 威胁情报关联 通过集成 VirusTotal 对文件和指标进行了验证，以确定其信誉和检测状态。 ### MITRE ATT&CK 映射 将观察到的活动映射到相关的 MITRE ATT&CK 战术和技术，在调查过程中提供了额外的上下文。 ## 展示的技能 - 安全监控 - 日志分析 - 威胁狩猎 - 事件调查 - IOC 验证 - 网络流量分析 - 端点检测分析 - MITRE ATT&CK 映射 - 安全事件关联 ## 截图 调查截图和支持证据可在 **Screenshots** 目录中找到。 ## 关键要点 本实验室最有价值的经验之一是，理解了当将各个单独的告警关联在一起时，它们会变得有意义得多。将端点事件、网络遥测和威胁情报作为单一调查的一部分进行审查，比分析孤立的告警能提供更清晰的图景。 此次实践增强了实用的 SOC 调查技能、威胁狩猎方法论，以及安全分析师在真实环境中常用的安全事件关联技术。

标签：Cloudflare, MITRE ATT&CK, OpenCanary, x64dbg, 安全运营中心, 端点检测与响应, 网络安全实验室, 网络映射, 脱壳工具