darenalyze/soc-incident-response-labs

GitHub: darenalyze/soc-incident-response-labs

一个蓝队安全运营实践作品集,通过 SIEM 配置、日志分析、网络取证和标准化事件响应文档展示 SOC 实战能力。

Stars: 0 | Forks: 0

# 🛡️ SOC 事件响应与检测工程实验室 ## 📝 描述 欢迎来到我专属的安全运营中心(SOC)作品集。此仓库作为我实际操作调查工作、网络流量分析、SIEM 部署以及正式事件文档记录的集中枢纽。 此空间旨在展示实用的蓝队能力,包括识别威胁行为者行为、分析遥测数据,以及执行映射到 **MITRE ATT&CK** 和 **NIST SP 800-61** 等行业标准框架的结构化事件响应工作流程。 ## 🏗️ 计划中的实验室路线图 *本作品集正在积极开发中,随着我完成基础网络和安全认证,内容也会不断更新。以下是即将推出的调查案例研究框架:* ### 🔹 实验室 1:端点检测与 SIEM 遥测流水线 * **目标:** 部署企业级 SIEM 环境以接入主机日志并对恶意行为发出警报。 * **核心重点:** Windows Event Log 分析、Sysmon 部署以及编写自定义检测规则(Elastic/Wazuh)。 ### 🔹 实验室 2:网络流量分析与命令与控制(C2)追踪 * **目标:** 分析来自真实恶意软件感染的 Packet Capture(`.pcap`)文件,以确定入侵范围。 * **核心重点:** Wireshark 过滤、追踪 HTTP/DNS 异常以及提取妥协指标(IOC)。 ### 🔹 实验室 3:网络钓鱼与电子邮件取证案例研究 * **目标:** 分析包含恶意载荷的电子邮件文件(`.eml` / `.msg`),以追踪攻击者的投递方式。 * **核心重点:** Header 分析、URL 打码(Defanging)以及通过开源威胁情报工具进行附件分析。 ## 📄 标准事件报告蓝图 本仓库中发布的每个案例研究都将遵循标准化的、符合企业规范的文档模板: 1. **执行摘要:** 为管理层提供的有关事件、影响和最终状态的高层级概述。 2. **事件时间线:** 以 UTC 时间按时间顺序对攻击生命周期进行分解。 3. **技术调查与分析:** 由 SIEM JSON 日志和 Wireshark 数据包截图支持的深入分析。 4. **妥协指标(IOC):** 恶意 IP、Hash(SHA256)和域名的结构化列表。 5. **修复与经验教训:** 为在未来遏制、根除和预防威胁而采取的可行措施。 ## 🛠️ 安全工具集(目标熟练度) * **SIEM/EDR:** Elastic SIEM, Wazuh, Windows Sysmon * **网络分析:** Wireshark, Zeek, NetworkMiner * **威胁情报:** VirusTotal, AbuseIPDB, URLScan.io * **框架:** MITRE ATT&CK, NIST 事件响应生命周期
标签:IP 地址批量处理, 安全运营中心, 数字取证, 网络映射, 自动化脚本