Test-Malarvizhi/SOC-L1-Alert-Triage-Lab
GitHub: Test-Malarvizhi/SOC-L1-Alert-Triage-Lab
该仓库记录了在模拟 SOC 环境中进行安全警报分类、调查与事件响应的实操经验,为初级安全分析师提供标准化分类流程的学习参考。
Stars: 0 | Forks: 0
# SOC-L1-Alert-Triage-Lab
本仓库记录了我在模拟 SOC 环境中使用 TryHackMe 执行警报分类和调查的实操经验。
alert-triage-handson/
├── README.md
├── screenshots/
│ ├── alert_dashboard.png
│ ├── alert_details.png
│ ├── edit_alert.png
│ ├── triage_summary.png
│ └── closing_comments.png
└── notes/
└── triage_steps.md
该练习包括分析多个警报、确定其严重程度、分配处理所有权、调查威胁指标,并根据适当的判定结果将其关闭。
-----
| 警报名称 | 严重程度 | 判定结果 | 描述 |
| --- | --- | --- | --- |
| **[双重扩展名文件创建](ca://s?q=Double_extension_file_creation_alert)** | 高 | 待处理 | 检测到可疑文件 ``cats2025.mp4.exe`` — 典型的伪装成媒体文件的网络钓鱼 payload。 |
| **[潜在的数据外泄](ca://s?q=Potential_data_exfiltration_alert)** | 严重 | 待处理 | 发往 ``*.zoom.us`` 的大量出站数据传输 (5.8 GB) 被标记以待审查。 |
| **[从 GitHub 仓库下载](ca://s?q=Download_from_GitHub_repository_alert)** | 低 | 待处理 | 对来自 GitHub 的下载进行监控,以防范潜在的恶意脚本暴露。 |
| **[异常 VPN 登录位置](ca://s?q=Unusual_VPN_login_location_alert)** | 中 | 误报 | 用户确认其在日本度假期间进行了合法登录。 |
| **[来自外部的暴力破解攻击](ca://s?q=Bruteforce_attack_alert)** | 中 | 真阳性 | 检测到来自外部 IP 的多次失败登录尝试;已确认存在恶意行为。 |
**分类流程**
**警报所有权:**
-> 将待处理警报分配给我自己。
-> 将状态从 等待操作 → 处理中 更改。
**初步分析:**
-> 审查警报元数据:源 IP、主机、用户、网络和时间戳。
-> 检查严重程度和规则描述以确定调查的优先级。
**调查:**
-> 关联日志和上下文数据(VPN、文件哈希、URL)。
-> 验证用户活动和网络行为。
-> 对可疑域名和文件哈希使用威胁情报查询。
**判定结果分配**
-> 将警报分类为真阳性、误报或良性。
-> 在分析师评论中记录推理过程。
**关闭**
-> 将状态更新为已关闭。
-> 添加总结调查结果和修复步骤的最终评论。
结案评论示例
1. 警报:异常 VPN 登录位置
判定结果:误报
评论:用户确认其在日本度假期间进行了合法访问。未检测到入侵。
2. 警报:来自外部的暴力破解攻击
判定结果:真阳性
评论:来自外部 IP 的多次失败登录尝试。账户已锁定并重置密码。
## 展示技能
- 安全警报分类
- SIEM 调查
- 事件分类
- 威胁情报验证
- 日志分析
- 安全运营中心 (SOC)
- 误报分析
- 事件记录
**MITRE ATT&CK 映射**
| 警报 | ATT&CK 技术 |
| --------------------- | ---------------- |
| 暴力破解 | T1110 |
| 数据外泄 | T1041 |
| 双重扩展名文件 | T1204 |
| VPN 登录异常 | T1078 |
## 工具与平台
- TryHackMe SOC 模拟器
- SIEM 仪表板
- 威胁情报来源
- GitHub
## 关键要点
- 学习了 SOC 警报优先级排序
- 区分了真阳性和误报
- 实践了事件文档记录
- 改进了调查工作流
- 获得了警报所有权分配和关闭的经验
-----
| 警报名称 | 严重程度 | 判定结果 | 描述 |
| --- | --- | --- | --- |
| **[双重扩展名文件创建](ca://s?q=Double_extension_file_creation_alert)** | 高 | 待处理 | 检测到可疑文件 ``cats2025.mp4.exe`` — 典型的伪装成媒体文件的网络钓鱼 payload。 |
| **[潜在的数据外泄](ca://s?q=Potential_data_exfiltration_alert)** | 严重 | 待处理 | 发往 ``*.zoom.us`` 的大量出站数据传输 (5.8 GB) 被标记以待审查。 |
| **[从 GitHub 仓库下载](ca://s?q=Download_from_GitHub_repository_alert)** | 低 | 待处理 | 对来自 GitHub 的下载进行监控,以防范潜在的恶意脚本暴露。 |
| **[异常 VPN 登录位置](ca://s?q=Unusual_VPN_login_location_alert)** | 中 | 误报 | 用户确认其在日本度假期间进行了合法登录。 |
| **[来自外部的暴力破解攻击](ca://s?q=Bruteforce_attack_alert)** | 中 | 真阳性 | 检测到来自外部 IP 的多次失败登录尝试;已确认存在恶意行为。 |
**分类流程**
**警报所有权:**
-> 将待处理警报分配给我自己。
-> 将状态从 等待操作 → 处理中 更改。
**初步分析:**
-> 审查警报元数据:源 IP、主机、用户、网络和时间戳。
-> 检查严重程度和规则描述以确定调查的优先级。
**调查:**
-> 关联日志和上下文数据(VPN、文件哈希、URL)。
-> 验证用户活动和网络行为。
-> 对可疑域名和文件哈希使用威胁情报查询。
**判定结果分配**
-> 将警报分类为真阳性、误报或良性。
-> 在分析师评论中记录推理过程。
**关闭**
-> 将状态更新为已关闭。
-> 添加总结调查结果和修复步骤的最终评论。
结案评论示例
1. 警报:异常 VPN 登录位置
判定结果:误报
评论:用户确认其在日本度假期间进行了合法访问。未检测到入侵。
2. 警报:来自外部的暴力破解攻击
判定结果:真阳性
评论:来自外部 IP 的多次失败登录尝试。账户已锁定并重置密码。
## 展示技能
- 安全警报分类
- SIEM 调查
- 事件分类
- 威胁情报验证
- 日志分析
- 安全运营中心 (SOC)
- 误报分析
- 事件记录
**MITRE ATT&CK 映射**
| 警报 | ATT&CK 技术 |
| --------------------- | ---------------- |
| 暴力破解 | T1110 |
| 数据外泄 | T1041 |
| 双重扩展名文件 | T1204 |
| VPN 登录异常 | T1078 |
## 工具与平台
- TryHackMe SOC 模拟器
- SIEM 仪表板
- 威胁情报来源
- GitHub
## 关键要点
- 学习了 SOC 警报优先级排序
- 区分了真阳性和误报
- 实践了事件文档记录
- 改进了调查工作流
- 获得了警报所有权分配和关闭的经验标签:DNS 反向解析, 告警分诊, 安全实验, 安全运营, 扫描框架, 网络信息收集