BALAbm7/BlueForge

## 什么是 BlueForge？ **BlueForge** 是一个结构化的、生产级的蓝队知识库，基于真实的 SOC 运营经验构建。这里的一切都来源于实际动手操作的工作 —— 而非教科书。它涵盖了完整的分析师工作流：从在线路层面理解网络数据包，到在 Microsoft Sentinel 中检测 Golden Ticket 攻击，再到响应正在进行的勒索软件事件。 本仓库同时服务于两个目的：作为一线 SOC 分析师的**日常参考**，以及作为展示检测工程、威胁狩猎和事件响应能力的**职业作品集**。 ## 目录 - [仓库结构](#repo-structure) - [01 — 网络安全](#01--network-security) - [02 — SOC Runbooks](#02--soc-runbooks) - [03 — KQL Queries](#03--kql-queries) - [04 — MITRE ATT&CK](#04--mitre-attck) - [05 — 工具与资源](#05--tools--resources) - [06 — 面试准备](#06--interview-prep) - [07 — 项目](#07--projects) - [08 — 学习路线图](#08--study-roadmap) - [技术栈](#tech-stack) - [认证](#certifications) - [如何使用本仓库](#how-to-use-this-repo) - [贡献](#contributing) - [联系](#connect) ## 仓库结构 ``` BlueForge/ │ ├── 📄 README.md ├── 📄 LICENSE ├── 📄 .gitignore │ ├── 📁 01-network-security/ │ ├── 📕 Network_Security_Study_Material.pdf │ ├── 📁 notes/ ← 15 chapter markdown files │ └── 📁 cheatsheets/ ← ports, protocols, subnetting │ ├── 📁 02-soc-runbooks/ │ ├── 📕 SOC_Alert_Runbook_50_Alerts.pdf │ ├── 📄 alert-index.md │ ├── 📄 severity-sla-matrix.md │ └── 📁 alerts/ ← 11 tactic subfolders, one .md per alert │ ├── credential-access/ │ ├── initial-access/ │ ├── execution/ │ ├── lateral-movement/ │ ├── persistence/ │ ├── defense-evasion/ │ ├── exfiltration/ │ ├── command-and-control/ │ ├── discovery/ │ ├── privilege-escalation/ │ └── collection/ │ ├── 📁 03-kql-queries/ │ ├── 📄 master-query-library.kql ← all 50 queries in one file │ ├── 📄 credential-access.kql │ ├── 📄 initial-access.kql │ ├── 📄 execution.kql │ ├── 📄 lateral-movement.kql │ ├── 📄 persistence.kql │ ├── 📄 defense-evasion.kql │ ├── 📄 exfiltration.kql │ ├── 📄 c2-detection.kql │ ├── 📄 discovery.kql │ ├── 📄 privilege-escalation.kql │ └── 📄 collection.kql │ ├── 📁 04-mitre-attack/ │ ├── 📄 ttp-coverage-map.md │ ├── 📄 tactics-reference.md │ └── 📄 navigator-layer.json ← import into ATT&CK Navigator │ ├── 📁 05-tools-and-resources/ │ ├── 📄 soc-tools-reference.md │ ├── 📄 threat-intel-feeds.md │ ├── 📄 windows-event-ids.md │ └── 📄 ioc-enrichment-sources.md │ ├── 📁 06-interview-prep/ │ ├── 📕 SOC_Interview_91_Questions.pdf │ ├── 📄 scenario-based-questions.md │ └── 📄 kql-interview-questions.md │ ├── 📁 07-projects/ │ ├── 📁 phishprobe/ ← Python CLI phishing email analyzer │ └── 📁 sentinel-detections/ ← custom Sentinel analytics rules │ └── 📁 08-study-roadmap/ ├── 📄 cert-progression-path.md ├── 📄 detection-engineer-roadmap.md └── 📄 12-week-cysa-roadmap.md ``` ## 01 — 网络安全 全面的网络安全学习资料，涵盖了 SOC 分析师了解其所防御内容所需的一切。每章都提供完整的 PDF 版本和独立的 Markdown 笔记，方便快速参考。 | 章节 | 主题 | 核心概念 | |---------|-------|--------------| | 01 | 网络基础 | LAN/WAN/MAN、拓扑、网络设备 | | 02 | OSI 与 TCP/IP 模型 | 7 层模型、各层攻击面、TCP 与 UDP | | 03 | IP 寻址与子网划分 | IPv4 分类、CIDR、私有地址范围、IPv6 | | 04 | 核心协议 | HTTP/S、SSH、DNS、SMB、RDP — 附带安全说明 | | 05 | 防火墙与数据包过滤 | 状态检测防火墙、NGFW、WAF、DMZ 架构 | | 06 | VPN 与隧道技术 | IPSec、WireGuard、OpenVPN、分离隧道风险 | | 07 | IDS / IPS 系统 | 特征与异常检测、NIDS 与 HIDS | | 08 | 网络攻击 | DDoS、ARP 投毒、DNS 欺骗、BGP 劫持 | | 09 | 无线安全 | WPA2/3、邪恶双子、KRACK、取消认证攻击 | | 10 | 密码学基础 | AES、RSA、ECC、哈希、对称与非对称 | | 11 | PKI 与证书 | CA、X.509、TLS 握手、证书吊销 | | 12 | DNS 与 Web 安全 | DNS 记录类型、DNS 隧道、DNSSEC | | 13 | 网络监控 | Wireshark、tcpdump、Snort、Suricata、Zeek | | 14 | 零信任架构 | 永不信任始终验证、ZT 支柱、ZTNA | | 15 | 事件响应 | NIST SP 800-61 生命周期、IoC 类型、IR 阶段 | 📁 [`01-network-security/`](./01-network-security/) ## 02 — SOC Runbooks 每个 Runbook 条目都遵循相同的 4 部分结构： - **WHY TRIGGERED** — 导致告警触发的攻击者行为或异常 - **HOW DETECTED** — 涉及的日志源、规则逻辑或 ML 模型 - **RUNBOOK STEPS** — 编号、分优先级的、需按顺序执行的响应程序 - **KQL DETECTION QUERY** — 即拿即用的 Microsoft Sentinel 查询 ### 严重性 SLA 参考 | 严重性 | SLA | 必要操作 | |----------|-----|-----------------| | 🔴 严重 (CRITICAL) | 立即 | 隔离、升级、呼叫 IR 团队 | | 🟠 高危 (HIGH) | < 1 小时 | 调查、遏制、必要时升级 | | 🟡 中危 (MEDIUM) | < 4 小时 | 调查、记录、若为误报则调优 | | 🟢 低危 (LOW) | < 24 小时 | 审查、关闭或附带证据升级 | ### 按 MITRE 战术分类的告警

凭据访问 - Credential Access (9 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 01 | 暴力破解登录尝试 | 🟠 高危 (HIGH) | T1110.001 | | 02 | 密码喷洒攻击 | 🔴 严重 (CRITICAL) | T1110.003 | | 03 | MFA 疲劳 / 多次 MFA 失败 | 🟠 高危 (HIGH) | T1621 | | 13 | Kerberoasting 攻击 | 🟠 高危 (HIGH) | T1558.003 | | 14 | 检测到 DCSync 攻击 | 🔴 严重 (CRITICAL) | T1003.006 | | 15 | Mimikatz / 凭据转储工具 | 🔴 严重 (CRITICAL) | T1003.001 | | 32 | LSASS 内存访问 | 🔴 严重 (CRITICAL) | T1003.001 | | 46 | 账户锁定风暴 | 🟡 中危 (MEDIUM) | T1110 | | 50 | Golden Ticket / Kerberos 票据异常 | 🔴 严重 (CRITICAL) | T1558.001 |

初始访问 - Initial Access (5 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 04 | 不可能旅行告警 | 🟠 高危 (HIGH) | T1078 | | 05 | 投递到邮箱的钓鱼邮件 | 🟠 高危 (HIGH) | T1566.001 | | 17 | 工作时间外的特权账户登录 | 🟡 中危 (MEDIUM) | T1078.002 | | 38 | 异常的 Azure AD / Entra ID 登录风险 | 🟠 高危 (HIGH) | T1078.004 | | 39 | 检测到 SQL 注入攻击 | 🟠 高危 (HIGH) | T1190 |

执行 - Execution (4 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 06 | 用户点击恶意 URL | 🔴 严重 (CRITICAL) | T1566.002 | | 07 | EDR 检测到恶意软件 | 🔴 严重 (CRITICAL) | T1204 | | 09 | 可疑的 PowerShell 执行 | 🟠 高危 (HIGH) | T1059.001 | | 42 | Office 应用程序生成异常进程 | 🟠 高危 (HIGH) | T1566.001 |

横向移动 - Lateral Movement (3 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 11 | 通过 SMB / PsExec 进行横向移动 | 🔴 严重 (CRITICAL) | T1021.002 | | 12 | Pass-the-Hash (PtH) 攻击 | 🔴 严重 (CRITICAL) | T1550.002 | | 18 | 来自外部 IP 的可疑 RDP 连接 | 🟠 高危 (HIGH) | T1021.001 |

持久化 - Persistence (5 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 16 | 创建了新的本地管理员账户 | 🟠 高危 (HIGH) | T1136.001 | | 25 | 创建了可疑的计划任务 | 🟠 高危 (HIGH) | T1053.005 | | 26 | 为实现持久化修改注册表 Run 键 | 🟠 高危 (HIGH) | T1547.001 | | 30 | 安装了可疑的新服务 | 🟠 高危 (HIGH) | T1543.003 | | 40 | 上传 / 检测到 Web Shell | 🔴 严重 (CRITICAL) | T1505.003 |

防御规避 - Defense Evasion (7 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 10 | 隐藏属性二进制文件 (LOLBins) 滥用 | 🟠 高危 (HIGH) | T1218 | | 28 | Windows Defender / AV 被禁用 | 🟠 高危 (HIGH) | T1562.001 | | 29 | 防火墙规则被修改 | 🟡 中危 (MEDIUM) | T1562.004 | | 31 | 检测到进程注入 | 🔴 严重 (CRITICAL) | T1055 | | 34 | 编码 / 混淆命令执行 | 🟠 高危 (HIGH) | T1027 | | 36 | Windows 事件日志被清除 | 🔴 严重 (CRITICAL) | T1070.001 | | 49 | 用户批量删除电子邮件 | 🟠 高危 (HIGH) | T1070.008 |

数据窃取 - Exfiltration (2 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 19 | 通过云存储进行数据窃取 | 🔴 严重 (CRITICAL) | T1567.002 | | 20 | 电子邮件附件中的敏感数据 (DLP) | 🟠 高危 (HIGH) | T1048 |

命令与控制 - Command & Control (4 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 21 | 检测到 DNS 隧道 | 🟠 高危 (HIGH) | T1071.004 | | 22 | 检测到 C2 信标活动 | 🔴 严重 (CRITICAL) | T1071.001 | | 23 | 检测到 Tor 网络使用 | 🟠 高危 (HIGH) | T1090.003 | | 48 | 指向已知恶意 IP 的出站流量 | 🟠 高危 (HIGH) | T1071 |

发现 - Discovery (2 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 24 | 检测到内部端口扫描 | 🟡 中危 (MEDIUM) | T1046 | | 35 | 网络共享枚举 (SMB 侦察) | 🟡 中危 (MEDIUM) | T1135 |

权限提升 - Privilege Escalation (2 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 33 | UAC 绕过尝试 | 🟠 高危 (HIGH) | T1548.002 | | 45 | 从非 PAW 使用域管理员账户 | 🟠 高危 (HIGH) | T1078.002 |

收集 / 其他 - Collection / Others (7 条告警)

| # | 告警 | 严重性 | MITRE | |---|-------|----------|-------| | 37 | 创建了可疑的电子邮件转发规则 | 🟠 高危 (HIGH) | T1114.003 | | 41 | 可疑 AWS API 调用 (CloudTrail) | 🟠 高危 (HIGH) | T1530 | | 43 | 大量文件被访问 — 内部威胁 | 🟠 高危 (HIGH) | T1039 | | 44 | 插入 USB 大容量存储设备 | 🟡 中危 (MEDIUM) | T1091 | | 47 | 异常用户访问敏感文件 | 🟠 高危 (HIGH) | T1083 | | 08 | 勒索软件行为检测 | 🔴 严重 (CRITICAL) | T1486 | | 27 | 卷影副本删除 | 🔴 严重 (CRITICAL) | T1490 |

📁 [`02-soc-runbooks/`](./02-soc-runbooks/) ## 03 — KQL Queries 所有来自 Runbook 的检测查询，按 MITRE 战术组织，为了清晰添加了注释，随时可以粘贴到 Microsoft Sentinel Analytics 或 Logs 边栏中。 ### 快速开始 1. 打开 **Microsoft Sentinel → Logs** 2. 从相关的 `.kql` 文件中复制任意查询 3. 调整阈值以匹配您环境的基线 4. 对于分析规则：粘贴到 **Sentinel → Analytics → Create → Scheduled query rule** ### 查询文件 | 文件 | 战术 | 查询数量 | |------|--------|---------| | `master-query-library.kql` | 所有战术 | 50 | | `credential-access.kql` | 凭据访问 | 9 | | `initial-access.kql` | 初始访问 | 5 | | `execution.kql` | 执行 | 4 | | `lateral-movement.kql` | 横向移动 | 3 | | `persistence.kql` | 持久化 | 5 | | `defense-evasion.kql` | 防御规避 | 7 | | `exfiltration.kql` | 数据窃取 | 2 | | `c2-detection.kql` | 命令与控制 | 4 | | `discovery.kql` | 发现 | 2 | | `privilege-escalation.kql` | 权限提升 | 2 | | `collection.kql` | 收集 + 影响 | 7 | ### 查询示例 — 暴力破解检测 ``` // #01 Brute Force Login Attempt | HIGH | T1110.001 // Fires when 5+ failed logins occur on the same account within 5 minutes from one IP SecurityEvent | where EventID == 4625 | summarize Failures = count() by Account, IpAddress, bin(TimeGenerated, 5m) | where Failures > 5 | project TimeGenerated, Account, IpAddress, Failures | order by Failures desc ``` ### 查询示例 — 勒索软件行为检测 ``` // #08 Ransomware Behavioral Detection | CRITICAL | T1486 // Fires when a process renames/encrypts 100+ files in under 30 seconds DeviceFileEvents | where ActionType == 'FileRenamed' | summarize Count = count() by InitiatingProcessFileName, bin(Timestamp, 30s) | where Count > 100 | project Timestamp, InitiatingProcessFileName, Count | order by Count desc ``` 📁 [`03-kql-queries/`](./03-kql-queries/) ## 04 — MITRE ATT&CK 针对所有 50 条 Runbook 告警的完整 TTP 覆盖映射。包含一个 ATT&CK Navigator 层级 JSON 文件，您可以直接在 [mitre-attack.github.io/attack-navigator](https://mitre-attack.github.io/attack-navigator/) 导入，以可视化您的检测覆盖范围。 ### 覆盖的战术 | 战术 | ID | 覆盖的告警数 | |--------|----|--------------------| | 初始访问 | TA0001 | 5 | | 执行 | TA0002 | 4 | | 持久化 | TA0003 | 5 | | 权限提升 | TA0004 | 2 | | 防御规避 | TA0005 | 7 | | 凭据访问 | TA0006 | 9 | | 发现 | TA0007 | 2 | | 横向移动 | TA0008 | 3 | | 收集 | TA0009 | 5 | | 命令与控制 | TA0011 | 4 | | 数据窃取 | TA0010 | 2 | | 影响 | TA0040 | 2 | 📁 [`04-mitre-attack/`](./04-mitre-attack/) ## 05 — 工具与资源 ### SOC 工具参考 | 工具 | 类别 | 用途 | |------|----------|---------| | Microsoft Sentinel | SIEM | KQL 查询、告警关联、威胁狩猎 | | Microsoft Defender XDR | XDR | 设备隔离、进程树、告警 | | SentinelOne | EDR | 终端行为检测、内存保护 | | Cortex XDR | EDR/XDR | 因果分析、威胁情报 | | Awake Security | NDR | 网络流量分析、加密流量分析 | | Armis | OT/IoT | 资产发现、被动设备监控 | | Zscaler | Proxy/SSE | Web 过滤、SSL 检查、CASB | | VirusTotal | TI | 哈希、IP、域名信誉查询 | | AbuseIPDB | TI | IP 信誉、滥用报告 | | AnyRun / Hybrid Analysis | Sandbox | 交互式恶意软件分析 | | Wireshark / Zeek | Network | 数据包捕获和流量分析 | | Volatility | DFIR | 内存取证、恶意软件脱壳 | | CyberChef | Analysis | 解码、解密、数据操作 | | MITRE ATT&CK Navigator | Planning | TTP 可视化、检测差距映射 | ### 关键 Windows 事件 ID — 快速参考 | 事件 ID | 描述 | 为什么重要 | |----------|-------------|----------------| | 4624 | 登录成功 | 基线和异常检测 | | 4625 | 登录失败 | 暴力破解、密码喷洒检测 | | 4648 | 使用显式凭据登录 | Pass-the-Hash 指标 | | 4662 | 对 AD 对象的操作 | DCSync 检测 | | 4663 | 尝试访问文件 | 敏感文件访问监控 | | 4698 | 创建计划任务 | 持久化机制 | | 4720 | 创建用户账户 | 后门账户检测 | | 4732 | 将成员添加到安全组 | 权限提升 | | 4740 | 账户被锁定 | 密码喷洒/暴力破解结果 | | 4769 | 请求 Kerberos 票据 | Kerberoasting 检测 | | 5001 | Defender 实时保护被禁用 | AV 篡改检测 | | 5140 | 访问网络共享 | SMB 枚举 | | 7045 | 安装新服务 | 通过服务实现持久化 | | 1102 | 审核日志被清除 | 日志篡改指标 | 📁 [`05-tools-and-resources/`](./05-tools-and-resources/) ## 06 — 面试准备 涵盖了 SOC 分析师在 Tier 1 到 Tier 3 级别面试中遇到的所有问题类型 —— 技术分诊场景、检测逻辑问题、MITRE ATT&CK 问题、KQL 特定问题以及行为/情景面试环节。 ### 涵盖的主题 - 告警分诊决策树 - 钓鱼调查演练 - 恶意软件分析场景题 - 事件响应流程 (PICERL) - 日志分析和 KQL 查询编写 - MITRE ATT&CK 技术识别 - 特定工具问题 (Sentinel、Defender、SentinelOne) - 行为面试环节准备（离职原因、薪资、职业目标） 📁 [`06-interview-prep/`](./06-interview-prep/) ## 07 — 项目 ### PhishProbe 一个用于钓鱼电子邮件取证的零依赖 Python CLI 工具。放入一个 `.eml` 文件，即可输出完整的分析报告。 **功能：** - 电子邮件头取证 — SPF、DKIM、DMARC 验证 - URL 提取和信誉检查 - IOC 提取 — IP、域名、哈希 - 附件分析 — 文件类型、哈希生成 - 威胁评分 — 低 / 中 / 高 / 严重输出 - 导出 JSON 报告以供 SIEM 摄取 ``` # 用法 python phishprobe.py --file suspicious.eml python phishprobe.py --file suspicious.eml --output report.json ``` 📁 [`07-projects/phishprobe/`](./07-projects/phishprobe/) ### Sentinel Detections 超越默认内容中心的定制 Microsoft Sentinel Analytics Rules —— 专为真实事件调查期间发现的检测缺口而编写。 📁 [`07-projects/sentinel-detections/`](./07-projects/sentinel-detections/) ## 08 — 学习路线图 ### 认证晋升路径 ``` [Current] [Next 6 Months] [Long-Term] ───────────────────────────────────────────────────────────────────── SC-200 ✅ CySA+ CS0-003 🎯 PNPT AWS SAA-C03 ✅ CCSP OSCP ISC2 CC ✅ AZ-500 GREM (GIAC) ``` ### 12 周 CySA+ 自学计划 结构化的逐周学习计划，映射到 CySA+ CS0-003 考试领域，包含实验、练习测试和检查点。 📁 [`08-study-roadmap/`](./08-study-roadmap/) ## 技术栈 ``` SIEM Microsoft Sentinel · Splunk (concepts) EDR / XDR SentinelOne · Microsoft Defender for Endpoint · Cortex XDR Network Awake Security (NDR) · Zscaler · Wireshark · Suricata OT / IoT Armis Identity Azure AD / Entra ID · Active Directory Cloud AWS (GuardDuty, CloudTrail) · Microsoft Azure Query Lang KQL (Kusto) · SPL (Splunk basics) Scripting Python · PowerShell · Bash Frameworks MITRE ATT&CK · NIST CSF · Cyber Kill Chain · PICERL ``` ## 认证 | 认证 | 颁发机构 | 状态 | |---------------|--------|--------| | SC-200 — Security Operations Analyst | Microsoft | ✅ 有效 | | SAA-C03 — Solutions Architect Associate | AWS | ✅ 有效 | | CC — Certified in Cybersecurity | ISC2 | ✅ 有效 | | CySA+ CS0-003 | CompTIA | 🎯 备考中 | ## 如何使用本仓库 ### 对于 SOC 分析师 从 `02-soc-runbooks/` 开始 —— 找到您正在调查的告警类型，并按照带编号的 Runbook 步骤操作。使用 `03-kql-queries/` 中相应的 KQL 文件在 Sentinel 中运行检测。 ### 对于面试准备 从 `06-interview-prep/` 获取题库，并使用 `04-mitre-attack/` 记忆 TTP 映射。通过演练 `02-soc-runbooks/` 来练习讲述真实的告警场景。 ### 对于检测工程师 转到 `03-kql-queries/` —— 复制、改编并调整这 50 条查询以适应您的环境。使用 `04-mitre-attack/navigator-layer.json` 可视化您检测覆盖范围中的盲点。 ### 对于学生 从 `01-network-security/` 开始，按顺序学习这 15 个章节。使用速查表在考试前进行快速复习。 ## 路线图 - [ ] 为所有 50 个 KQL 查询添加 Sigma 规则版本 - [ ] 添加 Python IOC 富化脚本（VirusTotal + AbuseIPDB 自动化） - [ ] 添加云攻击 Runbooks — AWS 专属 (GuardDuty 告警) - [ ] 添加 Active Directory 攻击检测深度剖析 - [ ] 添加 Defender XDR 高级搜寻查询库 - [ ] 添加 SOAR Playbook 模板 (Logic Apps / Sentinel Automation) ## 贡献 这是一个个人参考仓库，但欢迎纠正和补充。 **良好的 PR (Pull Request)：** - 修复不正确的信息或过时的 KQL 语法 - 使用标准的 4 部分格式添加新的 Runbook 条目 - 改进 Markdown 格式或修复错别字 - 添加带有适当注释和 MITRE 映射的新 KQL 查询 **请不要：** - 添加与蓝队 / SOC 工作无直接关联的内容 - 在未验证准确性的情况下提交 AI 生成的内容 贡献方式：Fork → Branch → PR，并附上清晰的说明，描述更改的内容和原因。 ## 联系

标签：Cloudflare, KQL, MITRE ATT&CK, 库, 应急响应, 网络安全, 逆向工具, 防御加固, 隐私保护