AleenaRoseGeorge/soc-analyst-bootcamp

# 🛡️ SOC Analyst 训练营 — 20天自学计划 **类型：** 自主学习 | **方向：** Blue Team / SOC 运营 **周期：** 20 天 | **状态：** 🟡 进行中 (Day 3/20) ## 🎯 目标 通过涵盖安全运营中心 (SOC) 中使用的真实工具、技术和场景的每日结构化学习，培养能够胜任工作的 SOC Analyst (L1/L2) 技能。 ## 📅 进度追踪 | Day | 主题 | 状态 | |-----|-------|--------| | Day 1 | Windows Event Logs 与关键 Event ID | ✅ 已完成 | | Day 2 | Logon Types、Persistence 机制与 MITRE ATT&CK 映射 | ✅ 已完成 | | Day 3 | 可疑 PowerShell 与 Scheduled Task 分析 | 🟡 进行中 | | Day 4 | 使用 Wireshark 进行网络流量分析 | ⬜ 即将开始 | | Day 5 | SIEM 基础与日志摄入 | ⬜ 即将开始 | | Day 6 | Microsoft Sentinel — 配置与查询 | ⬜ 即将开始 | | Day 7 | Alert 分类与升级工作流 | ⬜ 即将开始 | | Day 8 | 钓鱼邮件分析 | ⬜ 即将开始 | | Day 9 | 恶意软件行为分析 (静态) | ⬜ 即将开始 | | Day 10 | 恶意软件行为分析 (动态) | ⬜ 即将开始 | | Day 11 | 威胁情报与 IOC Hunting | ⬜ 即将开始 | | Day 12 | Endpoint Detection & Response (EDR) | ⬜ 即将开始 | | Day 13 | 内存取证基础 | ⬜ 即将开始 | | Day 14 | 事件响应生命周期 | ⬜ 即将开始 | | Day 15 | SOC Playbook 与 Runbook | ⬜ 即将开始 | | Day 16 | 活动目录攻击与检测 | ⬜ 即将开始 | | Day 17 | 云安全监控 (Azure/AWS) | ⬜ 即将开始 | | Day 18 | CTF — TryHackMe SOC Level 1 | ⬜ 即将开始 | | Day 19 | CTF — LetsDefend 实践 Alert | ⬜ 即将开始 | | Day 20 | 最终复习与模拟 SOC 场景 | ⬜ 即将开始 | ## 📚 涵盖主题 ### ✅ Day 1 — Windows Event Logs 与关键 Event ID - Windows Event Log 结构与日志类型 - 每个 SOC Analyst 必须了解的关键 Event ID | Event ID | 描述 | |----------|-------------| | 4624 | 成功登录 | | 4625 | 登录失败 | | 4648 | 使用显式凭据登录 | | 4672 | 分配特殊权限 | | 4688 | 创建新进程 | | 4698 | 创建 Scheduled Task | | 4720 | 创建用户账户 | | 4732 | 用户被添加到特权组 | | 7045 | 安装新服务 | ### ✅ Day 2 — Logon Types、Persistence 与 MITRE ATT&CK **Logon Types** | 类型 | 描述 | |------|-------------| | 2 | 交互式 (本地登录) | | 3 | 网络 (SMB、文件共享) | | 4 | 批处理 (Scheduled Task) | | 5 | 服务登录 | | 7 | 解锁工作站 | | 10 | 远程交互式 (RDP) | | 11 | 缓存凭据 | **Persistence 机制与 MITRE 映射** | 技术 | MITRE ID | |-----------|----------| | Scheduled Tasks | T1053.005 | | Registry Run Keys | T1547.001 | | Startup Folder | T1547.001 | | New Service Creation | T1543.003 | | PowerShell Profile | T1546.013 | ## 🧰 工具与平台 `Windows Event Viewer` `Wireshark` `Microsoft Sentinel` `Splunk` `MITRE ATT&CK Navigator` `TryHackMe` `LetsDefend` `Hack The Box` ## 🏆 同步进行的认证 | 认证 | 平台 | 状态 | |---------------|----------|--------| | SOC Fundamentals | LetsDefend × HackTheBox | ✅ 已完成 | | CEH | EC-Council | 🟡 进行中 | ## 📌 相关项目 - [Web 应用 VAPT 报告](https://github.com/AleenaRoseGeorge/web-application-pentest-report) - [网络取证实习](https://github.com/AleenaRoseGeorge/cyber-forensics-internship)

标签：SOC分析, 安全培训, 数字取证, 自动化脚本