cvonfeldt/blue-team-investigations

# 蓝队调查报告 ### 这是一个蓝队调查、威胁狩猎演练和事件响应案例的合集，专注于真实世界的 SOC 工作流。每项调查都记录了用于识别、调查和理解安全事件的分析过程，包括证据收集、时间线重建、IOC 分析、ATT&CK 映射和报告。主题涵盖端点、网络、身份、云和威胁情报调查，使用行业标准的安全工具和方法论。
## 调查： | # | 调查 | 平台 | 重点 | 状态 | |---|--------------|----------|-------|--------| | 01 | [日志分析 - Sysmon](./01-Log-Analysis-Sysmon/) | BTLO | 端点，Windows 事件日志 | 进行中 | | 02 | [Paranoid - Linux IR](./02-Paranoid-Linux-IR/) | BTLO | Linux，SSH，权限提升 | 已规划 | | 03 | [钓鱼分析](./03-Phishing-Analysis/) | BTLO | 电子邮件，IOC 提取 | 已规划 | | 04 | [Follina - CVE-2022-30190](./04-Follina-Investigation/) | BTLO | 端点，漏洞，恶意软件 | 已规划 | | 05 | [报告 - 威胁情报](./05-The-Report-Threat-Intel/) | BTLO | 威胁情报，IOC 分析 | 已规划 | ## 报告结构 每项调查均遵循一致的格式： ``` Overview — scenario background and scope Methodology — step-by-step analytical approach Findings — evidence, artifacts, and answers IOCs — IPs, hashes, domains, file names ATT&CK Mapping — tactic and technique identification Timeline — chronological event reconstruction Recommendations — detection and defensive actions ``` ## 平台 主要：[Blue Team Labs Online (BTLO)](https://blueteamlabs.online/) 其他调查可能会从 CyberDefenders 和 TryHackMe 中添加

标签：BurpSuite集成, CTF Writeups, DNS通配符暴力破解, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 自动化脚本, 防御加固