praharshkumar23/SOC-Incident-Triage-Lab

GitHub: praharshkumar23/SOC-Incident-Triage-Lab

面向初级安全分析师的 SOC 事件分诊实验室,通过模拟特权账户失陷场景帮助学习日志分析、检测工程和事件响应的完整流程。

Stars: 0 | Forks: 0

# SOC 事件分诊实验室 — 特权账户失陷调查 **作者:** Praharsh **实验室环境:** Splunk Enterprise(家庭实验室)+ 模拟的 Windows 安全日志 **技能重点:** 告警分诊 · Windows 事件日志分析 · SPL 检测查询 · MITRE ATT&CK 映射 · 事件升级 **工单 ID:** SOC-LAB-2026-001 **状态:** 已升级至 Tier 2 ## 我所做的工作 我在家庭实验室中构建了一个模拟的特权账户失陷场景,并像 SOC L1 分析师那样对其进行了调查——从最初的告警一直到事件升级。 该场景从针对服务账户(`svc_admin_backup`)的暴力破解尝试开始,随后是来自可疑外部 IP 的成功 RDP 登录、编码的 PowerShell 执行,以及认证后的侦察命令。 我编写了 Splunk SPL 查询来检测每个阶段,构建了攻击时间线,识别了失陷指标(IOC),将完整的攻击链映射到 MITRE ATT&CK,并将所有内容记录为正式的 SOC 事件报告。 ## 展示的技能 | 技能领域 | 本项目中的证据 | |---|---| | 告警分诊 | 工单分诊记录、严重性决策、升级理由 | | Windows 日志分析 | 事件 ID 4624、4625、4672、4688、4634 | | 事件调查 | 攻击时间线、IOC 摘要、证据关联 | | 检测工程 | 针对每个攻击阶段的 SPL 查询 | | 威胁映射 | 完整的 MITRE ATT&CK 技术映射 | | SOC 报告 | 事件报告 + 执行摘要 | ## 关键 Windows 事件 ID | 事件 ID | 含义 | 重要性 | |---|---|---| | 4625 | 登录失败 | 检测暴力破解或密码喷洒 | | 4624 | 登录成功 | 确认账户访问 | | 4672 | 分配特殊权限 | 标记特权账户活动 | | 4688 | 创建新进程 | 检测可疑的命令执行 | | 4634 | 账户注销 | 补全会话时间线 | ## 攻击时间线摘要 | 时间 (UTC) | 事件 ID | 活动 | 严重性 | |---|---|---|---| | 09:12 – 09:16 | 4625 ×5 | `svc_admin_backup` 上 5 次失败的 RDP 登录 | 中 | | 09:18 | 4624 | 来自相同源 IP 的成功 RDP 登录 | 高 | | 09:19 | 4672 | 登录后分配特殊权限 | 高 | | 09:21 | 4688 | 执行编码的 PowerShell | 高 | | 09:22 – 09:24 | 4688 ×3 | `whoami /groups`, `net user`, `ipconfig /all` | 高 | | 09:42 | 4634 | 可疑会话后注销 | 中 | **源 IP:** `185.203.118.44` | **主机:** `NBC-WIN-034` | **账户:** `svc_admin_backup` ## 仓库结构 ``` SOC-Incident-Triage-Lab/ ├── README.md ├── logs/ │ └── simulated-security-events.csv ├── analysis/ │ ├── ticket-triage-notes.md │ ├── attack-timeline.md │ ├── ioc-summary.md │ └── risk-assessment.md ├── queries/ │ ├── splunk-detection-queries.spl │ └── kql-queries.kql ├── mapping/ │ └── mitre-attack-mapping.md ├── reports/ │ ├── soc-incident-report.md │ └── executive-summary.md └── screenshots/ └── add-screenshots-here.txt ``` ## 调查工作流 ``` Alert received → Ticket triage → Evidence review → Attack timeline built → IOCs identified → MITRE ATT&CK mapped → SPL detection queries written → Risk assessed → Incident report written → Escalation recommended ``` ## 关键发现 - 针对特权服务账户的 5 次来自外部 IP 的失败登录尝试 - 随后立即从相同的可疑源 IP 进行了成功的 RDP 登录 - 账户在登录后 45 秒内被分配了特殊权限 - 使用 `-ExecutionPolicy Bypass` 标志执行了编码的 PowerShell - 探测命令:`whoami /groups`、`net user`、`ipconfig /all` - 完整序列与失陷后的侦察行为一致 ## 检测查询 SPL 和 KQL 查询位于 `queries/` 文件夹中。它们涵盖: - 失败登录突发检测 - 失败后的成功 RDP 登录 - 特权账户登录检测 - 编码的 PowerShell 执行 - 侦察命令模式 - 完整时间线重建 ## 免责声明 这是一个为了学习和作品集目的而创建的模拟实验室项目。 不代表任何真实的组织、用户、IP 地址或事件。
标签:PE 加载器, SOC分析, 安全运营中心, 网络安全, 网络映射, 隐私保护