saiganeshvoggu/soc-analyst-portfolio

# SOC Analyst 作品集 — Sai Ganesh Voggu 这是我的网络安全核心作品集仓库。它记录了我的 SOC Analyst 实战经验、NationsBenefits 工作文档、Splunk 和 Sysmon 实验、Windows Event Log 分析、Microsoft Sentinel 学习、KQL/SPL 练习、MITRE ATT&CK 映射、威胁狩猎笔记、检测工程实践、事件调查工作流、SOC 案例管理以及面试准备。 ## 个人简介 SOC Analyst，拥有在印度和美国跨越 2,000 多名用户的企业环境中支持安全运营的实战经验。擅长告警分类、事件响应支持、端点安全、Microsoft 365 安全运营、DLP 调查、邮件隔离审查、漏洞审查支持以及 SOC 文档编写。 目前正通过专注于 Splunk、Sysmon、Windows Event Logs、Microsoft Sentinel、KQL、MITRE ATT&CK、Detection Engineering 和 Threat Hunting 的实战实验，不断巩固实用的 SOC 技能。 ## 核心技能 - 安全运营中心 (SOC) - 告警分类与调查 - 事件响应支持 - 威胁检测 - 数据防泄漏 (DLP) - 漏洞审查支持 - 邮件安全与隔离审查 - 威胁情报与 IOC 审查 - 端点安全监控 - Windows Event Log 分析 - Sysmon 端点遥测 - Splunk SIEM 与 SPL 基础 - Microsoft Sentinel 与 KQL 基础 - MITRE ATT&CK 映射 - 检测工程基础 - 威胁狩猎方法论 - SOC 文档与 SOP 编写 ## 工作经验亮点 ### 助理 SOC Analyst — NB Healthcare Technologies / NationsBenefits India 为跨越印度和美国、拥有 2,000 多名用户的企业环境提供安全运营支持。 主要工作领域： - 每天使用 Zoho Service Desk、SentinelOne 和 Arctic Wolf 分类处理约 25–55 个安全告警。 - 审查 SentinelOne 告警、Arctic Wolf 通知、登录失败告警、端点事件、DLP 事件和邮件隔离案例。 - 使用 Microsoft Purview、Microsoft 365 Security、Exchange Admin Center、SentinelOne、Arctic Wolf、Absolute、BitLocker 和 Zoho Service Desk。 - 维护用于登录失败审查、BitLocker 恢复支持、DLP 案例、隔离审查和操作跟进的跟踪表和文档。 - 与 SOC Analyst、Information Security Engineer 和 IT 团队协作。 - 将约 10 项安全调查升级给 Tier-2 analyst 和 Information Security Engineer。 详细经验总结：[`19_nationsbenefits_experience`](19_nationsbenefits_experience/) ## 仓库结构 ### 1. 真实 SOC 经验 | 文件夹 | 描述 | |---|---| | [`01_dlp_and_compliance`](01_dlp_and_compliance/) | Microsoft Purview DLP 工作流笔记和合规调查方法 | | [`02_incident_response`](02_incident_response/) | 事件响应 playbook 以及登录失败/BitLocker 类工作流 | | [`03_threat_detection`](03_threat_detection/) | 基于 SOC 运营的告警分类和威胁检测笔记 | | [`04_vulnerability_research`](04_vulnerability_research/) | 漏洞审查和修复跟踪模板 | | [`05_email_security`](05_email_security/) | 邮件隔离、钓鱼审查、SPF/DKIM/DMARC 和 Microsoft 365 邮件安全笔记 | | [`06_threat_intelligence`](06_threat_intelligence/) | IOC 审查、信誉检查、VirusTotal / URLScan 类丰富化以及威胁情报笔记 | ### 2. SOC 实战实验与学习 | 文件夹 | 描述 | |---|---| | [`07_splunk`](07_splunk/) | Splunk 笔记、SPL 查询、搜索、SIEM 练习和证据 | | [`08_sysmon`](08_sysmon/) | Sysmon 设置、端点遥测、事件 ID 分析和进程创建证据 | | [`09_mitre_attack`](09_mitre_attack/) | MITRE ATT&CK 映射实验和技术笔记 | | [`10_windows_event_logs`](10_windows_event_logs/) | Windows Event Log 调查笔记和事件 ID 分析 | | [`11_microsoft_sentinel`](11_microsoft_sentinel/) | Microsoft Sentinel、Azure Arc、AMA、DCR 和 KQL 实验 | | [`12_detection_engineering`](12_detection_engineering/) | 检测工程实验、检测逻辑和规则编写练习 | | [`13_threat_hunting`](13_threat_hunting/) | 威胁狩猎工作流、假设驱动的狩猎和报告 | ### 3. SOC 运营、报告与求职准备 | 文件夹 | 描述 | |---|---| | [`14_incident_investigation`](14_incident_investigation/) | 事件调查工作流、案例笔记和调查模板 | | [`15_soc_case_management`](15_soc_case_management/) | SOC 工单处理、严重性分类、升级说明和案例管理示例 | | [`16_interview_preparation`](16_interview_preparation/) | SOC 面试问题、模拟面试准备、HR 回答和技术解答 | | [`17_reports`](17_reports/) | SOC 类报告和调查书面报告 | | [`18_sops`](18_sops/) | SOP、runbook、操作文档和工作流笔记 | | [`19_nationsbenefits_experience`](19_nationsbenefits_experience/) | 经过脱敏处理的工作经验总结、指标、使用的工具和主要职责 | ## 学习路线图状态 | 主题 | 状态 | |---|---| | Splunk 基础 | 已完成 | | Sysmon 基础 | 已完成 | | Windows Event Logs | 已完成 | | MITRE ATT&CK 基础 | 已完成 | | Microsoft Sentinel 设置 | 已完成 | | Azure Arc / AMA / DCR | 已完成 | | KQL 基础 | 已完成 | | Detection Engineering | 进行中 | | Threat Hunting | 进行中 | | Incident Investigation | 进行中 | | SOC Case Management | 进行中 | | Interview Preparation | 进行中 | ## 涵盖的工具和平台 | 类别 | 工具 / 平台 | |---|---| | SIEM | Splunk, Microsoft Sentinel | | 端点安全 | SentinelOne, Sysmon, Absolute, BitLocker | | Microsoft 安全 | Microsoft 365 Security, Microsoft Purview, Exchange Admin Center, Azure Arc, AMA, DCR | | 工单 / 告警审查 | Zoho Service Desk, Arctic Wolf | | 威胁情报 | VirusTotal, URLScan 类分析, IOC 审查 | | 文档 | SOP, runbook, 调查笔记, 报告, 案例总结 | ## 展示的实践技能 - 安全告警分类 - SOC 文档编写 - 事件响应工作流编写 - 登录失败调查方法论 - DLP 调查工作流 - 邮件隔离审查流程 - 端点安全调查支持 - Windows Event ID 分析 - Sysmon 事件分析 - Splunk SPL 基础 - Microsoft Sentinel KQL 基础 - MITRE ATT&CK 映射 - 威胁情报丰富化 - 检测工程基础 - 威胁狩猎文档记录 - SOC 案例管理 - 面试准备 ## 证据与截图 证据截图已整理至相关的主题文件夹中。示例： - Splunk 证据：[`07_splunk/evidence`](07_splunk/evidence/) - Sysmon 证据：[`08_sysmon/evidence`](08_sysmon/evidence/) - Microsoft Sentinel 证据：[`11_microsoft_sentinel/evidence`](11_microsoft_sentinel/evidence/) - Windows Event Logs 证据：[`10_windows_event_logs/evidence`](10_windows_event_logs/evidence/) - MITRE ATT&CK 证据：[`09_mitre_attack/evidence`](09_mitre_attack/evidence/) ## GitHub 维护计划 本仓库作为唯一的网络安全核心作品集进行维护。在完成 SOC、Splunk、Microsoft Sentinel、Sysmon、Detection Engineering、Threat Hunting 和 Interview Preparation 练习后，将添加未来的更新内容。 计划改进： - 添加更多 SPL 查询示例 - 添加更多 KQL 查询示例 - 添加检测规则笔记 - 添加调查案例研究 - 添加更多 SOC 报告示例 - 添加适用于面试的 SOC 场景 - 扩充 runbook 和 SOP ## 免责声明 本仓库中的所有内容均出于教育目的，并基于经过脱敏处理的工作经验、实验操作和公开的网络安全知识。不包含任何机密、专有、客户、员工或内部公司信息。

标签：Sysmon, 个人作品集, 安全运营(SOC), 库, 应急响应, 管理员页面发现