ASmithSecurity/soc-alert-triage-log-analysis-lab

# SOC 告警分诊与日志分析实验室 ## 项目概述 本项目记录了使用模拟安全事件进行的 SOC 风格的告警分诊和日志分析实践。 本实验室的目的是展示初级 SOC 分析师和 SOC 支持人员的技能，包括审查告警上下文、识别入侵指标、分配严重程度、记录证据、建议遏制措施以及清晰地沟通调查结果。 本项目适合以下初级岗位： - SOC 支持专家 - 网络安全支持分析师 - SOC 分析师 I - IT 安全支持专家 - 安全运营助理 - 侧重安全的技术支持工程师 ## 项目目标 本项目的目标是展示我如何以结构化且可重复的方式处理不同类型的安全告警。 每份告警分析报告包含： - 告警摘要 - 已审查的模拟证据 - 入侵指标 - 分析与严重程度判定 - 建议的遏制措施 - 升级决定 - 面向合作伙伴或客户的说明 - 经验教训 ## 包含的告警场景 | 告警 | 关注领域 | |---|---| | 钓鱼邮件告警 | 邮件安全、凭证窃取风险、用户报告的钓鱼邮件 | | 可疑登录告警 | 身份入侵、异常登录行为、MFA/session 审查 | | 端点恶意软件告警 | 端点安全、可疑进程行为、隔离决定 | | 暴力破解认证告警 | 频繁登录失败、账户锁定风险、凭证攻击模式 | | 异常网络活动告警 | 可疑出站流量、IP/domain 审查、网络调查 | ## 展示的技能 - SOC 告警分诊 - SIEM 与日志分析概念 - 钓鱼邮件分析 - 可疑登录调查 - 端点恶意软件告警审查 - 暴力破解认证分析 - 异常网络活动审查 - 入侵指标记录 - 严重程度评估 - 升级判定 - 安全事件沟通 - 技术文档编写 - 面向合作伙伴的说明 ## 使用的工具与概念 - SIEM 仪表盘概念 - Windows 事件日志概念 - 认证日志审查 - 端点遥测概念 - 电子邮件标头与 URL 审查概念 - IP 地址与地理位置审查 - Hash 与 domain 信誉概念 - MITRE ATT&CK 映射 - Cyber Kill Chain 概念 - 应急响应生命周期 - SOC 文档实践 ## 仓库内容 | 文件 | 用途 | |---|---| | [`docs/project-overview-and-takeaways.md`](docs/project-overview-and-takeaways.md) | 面向雇主的项目展示概述 | | [`templates/soc-investigation-template.md`](templates/soc-investigation-template.md) | 可重复使用的 SOC 调查模板 | | [`alerts/01-phishing-email-alert.md`](alerts/01-phishing-email-alert.md) | 模拟钓鱼邮件告警分诊报告 | | [`alerts/02-suspicious-login-alert.md`](alerts/02-suspicious-login-alert.md) | 模拟可疑登录调查 | | [`alerts/03-endpoint-malware-alert.md`](alerts/03-endpoint-malware-alert.md) | 模拟端点恶意软件告警审查 | | [`alerts/04-brute-force-authentication-alert.md`](alerts/04-brute-force-authentication-alert.md) | 模拟暴力破解认证分析 | | [`alerts/05-abnormal-network-activity-alert.md`](alerts/05-abnormal-network-activity-alert.md) | 模拟异常网络流量调查 | | [`reports/final-triage-summary-report.md`](reports/final-triage-summary-report.md) | 汇总所有告警场景的最终摘要报告 | | [`screenshots/`](screenshots/) | 存放截图和文档预览的文件夹 | | [`notes/`](notes/) | 存放额外调查记录的文件夹 | | [`resources/`](resources/) | 存放支持性参考资料或学习笔记的文件夹 | ## 常规分诊工作流 1. 审查告警名称、来源、严重程度和受影响的资产。 2. 识别受影响的用户、主机、IP 地址、domain、进程或文件。 3. 审查可用的上下文和模拟日志。 4. 识别入侵指标。 5. 判断该活动是良性的、可疑的还是恶意的。 6. 根据可信度和潜在影响分配严重程度。 7. 建议遏制或修复措施。 8. 决定是否需要升级处理。 9. 清晰地记录调查过程。 10. 提供简短的、面向客户或合作伙伴的说明。 ## 严重程度评级指南 | 严重程度 | 标准 | |---|---| | 低 | 可疑但可信度较低且影响有限的活动 | | 中 | 影响单个用户或资产且可能产生安全影响的可疑活动 | | 高 | 极有可能的入侵、恶意软件执行、成功的可疑登录或正在发生的安全事件 | | 严重 | 大规模入侵、勒索软件、重大停机或确认的业务影响 | ## 本项目的意义 本项目展示了我具备以下能力： - 以结构化的方式审查告警 - 记录调查结果 - 识别可疑模式 - 清晰地解释风险 - 建议遏制措施 - 理解何时需要升级处理 - 编写清晰的内部和面向合作伙伴的记录 - 将 SOC 概念应用于真实的安全场景 ## 经验教训 SOC 工作不仅仅是识别可疑活动，还需要清晰的文档记录、冷静的沟通、基于证据的推理，以及能够以有助于他人采取行动的方式解释技术发现。 本项目帮助巩固了这样一个认识：不同类型的告警需要不同的调查问题，同时仍需遵循一致的分诊结构。

标签：IP 地址批量处理, 安全告警分诊, 安全实验室, 安全运营, 库, 应急响应, 扫描框架, 防御加固