netcur10s/soc-analyst-projects

# SOC Analyst 作品集 五个实践项目，旨在展示初级 SOC Analyst 在检测工程、事件响应、威胁 情报和脚本编写方面的技能。 所有项目均在自定义家庭实验室中开发，该实验室运行 Splunk、 Sysmon、Wazuh 和 PFSense，跨四个网段的 Proxmox 环境。实验室文档可在 [soc-lab](https://github.com/netcur10s/soc-lab) 获取。 ## 项目 | # | 项目 | 工具 | 重点领域 | |---|---|---|---| | 01 | [Splunk 威胁检测展示](./01-splunk-threat-detections/README.md) | Splunk, Sysmon, Atomic Red Team | 检测工程, SPL, MITRE ATT&CK | | 02 | [模拟 SOC 事件报告](./02-incident-response-report/README.md) | Splunk, Sysmon, Wazuh | 事件响应, 文档记录, 升级处理 | | 03 | [钓鱼邮件分诊指南](./03-phishing-triage/README.md) | ANY.RUN, VirusTotal, Splunk | 告警分诊, IOC 提取, Analyst 工作流 | | 04 | [PCAP 流量分析](./04-pcap-analysis/README.md) | Wireshark, tcpdump, Splunk | 网络取证, 协议分析, IOC 识别 | | 05 | [IOC 富化脚本](./05-ioc-enrichment-script/README.md) | Python, AbuseIPDB API | 自动化, 威胁情报, 脚本编写 | ## 展示的技能 | 技能 | 体现之处 | |---|---| | SIEM 日志分析与 SPL 查询开发 | 项目 01, 02, 03 | | 端到端事件调查工作流 | 项目 02 | | 告警分诊与 Analyst 决策 | 项目 01, 03 | | 网络流量分析与 IOC 提取 | 项目 03, 04 | | 检测自动化与脚本编写 | 项目 05 | | MITRE ATT&CK 框架应用 | 项目 01, 02 | ## 实验室环境 基于网段划分的 Proxmox 家庭实验室构建： | 网段 | 子网 | 用途 | |---|---|---| | Active Directory | 10.10.10.0/24 | Windows 端点, Domain Controller | | SOC 工具 | 10.10.20.0/24 | Splunk, Wazuh, Nessus | | 脆弱机器 | 10.10.30.0/24 | Metasploitable, DVWA, WebGoat | | 攻击者 | 10.10.40.0/24 | Kali Linux, Parrot OS | ## 联系方式 **LinkedIn:** [linkedin.com/in/vic1101](https://linkedin.com/in/vic1101) **电子邮件:** v.echevarria@proton.me **GitHub:** [github.com/netcur10s](https://github.com/netcur10s)

标签：AMSI绕过, 威胁情报, 威胁检测, 安全分析师, 安全运营中心, 库, 应急响应, 开发者工具, 网络映射, 网络流量分析, 逆向工具