Harsh741334/SOC-Phishing-Incident-Response-and-Investigation-Framework
GitHub: Harsh741334/SOC-Phishing-Incident-Response-and-Investigation-Framework
一套面向 SOC 团队的钓鱼事件响应与调查框架,通过标准化操作手册、SOP 和案例模板解决钓鱼事件调查流程不规范、文档缺失的问题。
Stars: 0 | Forks: 0
# SOC 钓鱼事件响应框架
一个全面的安全运营中心 (SOC) 项目,专注于钓鱼调查、事件响应、安全文档和分析员工作流程。
本仓库通过提供操作手册、SOP、架构图、调查指南和真实案例研究,模拟了企业 SOC 团队如何调查和响应钓鱼事件。
# 项目目标
* 建立标准化的钓鱼调查方法。
* 制定事件响应操作手册和 SOP。
* 记录证据收集流程。
* 创建 MITRE ATT&CK 映射。
* 为 SOC 分析员提供可重用的调查模板。
* 模拟真实的钓鱼事件及响应过程。
# 项目结构
```
SOC-Phishing-Incident-Response-Framework/
│
├── 01_Problem_Statement.md
├── 02_Project_Objectives.txt
├── 03_Phishing_Basics_Guide.txt
├── 04_Incident_Response_Workflow.md
├── Phishing_Runbook.pdf
├── Investigation_SOP.pdf
├── IOC_Checklist.txt
├── Evidence_Collection_Checklist.txt
├── Email_Header_Analysis_Guide.pdf
├── MITRE_Mapping.md
├── Lessons_Learned.docx
├── Business_Email_Compromise.pdf
├── Credential_Harvesting.pdf
├── Malware_Attack.pdf
└── README.md
```
# 核心功能
## 钓鱼调查工作流程
* 告警分诊
* 电子邮件分析
* IOC 提取
* 影响范围确定
* 遏制
* 恢复
* 文档记录
## 事件响应操作手册
* 钓鱼响应流程
* 升级工作流
* 遏制措施
* 恢复流程
## 调查 SOP
* 标准化调查流程
* 证据收集方法
* 身份验证调查
* Endpoint 调查
## 威胁情报集成
* VirusTotal
* AbuseIPDB
* URLScan
* WHOIS
* Hybrid Analysis
* Any.Run
## MITRE ATT&CK 映射
* 初始访问
* 凭证访问
* 执行
* 横向移动
* 数据窃取
* 影响
# 包含的案例研究
## 凭证收集
针对旨在窃取用户凭证的钓鱼页面的调查和响应程序。
## 商业电子邮件妥协 (BEC)
对高管冒充、发票欺诈和账户妥协的调查。
## 恶意软件攻击
对通过钓鱼电子邮件和恶意附件传递的恶意软件的调查。
# 展示的技能
* 安全运营中心 (SOC)
* 事件响应
* 安全监控
* 钓鱼调查
* SIEM
* EDR
* 威胁狩猎
* IOC 分析
* 恶意软件分析
* 电子邮件安全
* MITRE ATT&CK
* 安全文档
* 证据收集
* 根本原因分析
* 安全架构
* 技术写作
# 工具与技术
* Exabeam
* CrowdStrike Falcon
* VirusTotal
* URLScan
* Any.Run
* Hybrid Analysis
* AbuseIPDB
* MXToolbox
* Wireshark
* AWS Security Services
# 学习成果
通过这个项目,我掌握了以下方面的实用知识:
* 钓鱼调查
* 事件响应工作流
* 安全文档
* MITRE ATT&CK 映射
* 证据收集
* 安全架构设计
* SOC 分析员流程与程序
# 未来增强计划
* 添加钓鱼检测规则。
* 创建 SIEM 关联用例。
* 添加用于调查的电子邮件样本。
* 构建钓鱼仪表板。
* 开发自动化调查 Playbook。
# 作者
Harsh Agarwal
计算机科学技术学士 (AI & ML)
有志成为 SOC 分析员 | 安全监控 | 事件响应 | SIEM | EDR | AWS Security
LinkedIn: https://www.linkedin.com/in/harsh-agarwal-608626243/
GitHub: https://github.com/Harsh741334
# 许可证
本项目仅用于教育和作品集展示目的。
标签:PE 加载器, SOC运营, 安全运营, 安全防御框架, 库, 应急响应, 扫描框架, 文档与SOP, 钓鱼攻击分析, 防御加固