Harsh741334/SOC-Phishing-Incident-Response-and-Investigation-Framework

GitHub: Harsh741334/SOC-Phishing-Incident-Response-and-Investigation-Framework

一套面向 SOC 团队的钓鱼事件响应与调查框架,通过标准化操作手册、SOP 和案例模板解决钓鱼事件调查流程不规范、文档缺失的问题。

Stars: 0 | Forks: 0

# SOC 钓鱼事件响应框架 一个全面的安全运营中心 (SOC) 项目,专注于钓鱼调查、事件响应、安全文档和分析员工作流程。 本仓库通过提供操作手册、SOP、架构图、调查指南和真实案例研究,模拟了企业 SOC 团队如何调查和响应钓鱼事件。 # 项目目标 * 建立标准化的钓鱼调查方法。 * 制定事件响应操作手册和 SOP。 * 记录证据收集流程。 * 创建 MITRE ATT&CK 映射。 * 为 SOC 分析员提供可重用的调查模板。 * 模拟真实的钓鱼事件及响应过程。 # 项目结构 ``` SOC-Phishing-Incident-Response-Framework/ │ ├── 01_Problem_Statement.md ├── 02_Project_Objectives.txt ├── 03_Phishing_Basics_Guide.txt ├── 04_Incident_Response_Workflow.md ├── Phishing_Runbook.pdf ├── Investigation_SOP.pdf ├── IOC_Checklist.txt ├── Evidence_Collection_Checklist.txt ├── Email_Header_Analysis_Guide.pdf ├── MITRE_Mapping.md ├── Lessons_Learned.docx ├── Business_Email_Compromise.pdf ├── Credential_Harvesting.pdf ├── Malware_Attack.pdf └── README.md ``` # 核心功能 ## 钓鱼调查工作流程 * 告警分诊 * 电子邮件分析 * IOC 提取 * 影响范围确定 * 遏制 * 恢复 * 文档记录 ## 事件响应操作手册 * 钓鱼响应流程 * 升级工作流 * 遏制措施 * 恢复流程 ## 调查 SOP * 标准化调查流程 * 证据收集方法 * 身份验证调查 * Endpoint 调查 ## 威胁情报集成 * VirusTotal * AbuseIPDB * URLScan * WHOIS * Hybrid Analysis * Any.Run ## MITRE ATT&CK 映射 * 初始访问 * 凭证访问 * 执行 * 横向移动 * 数据窃取 * 影响 # 包含的案例研究 ## 凭证收集 针对旨在窃取用户凭证的钓鱼页面的调查和响应程序。 ## 商业电子邮件妥协 (BEC) 对高管冒充、发票欺诈和账户妥协的调查。 ## 恶意软件攻击 对通过钓鱼电子邮件和恶意附件传递的恶意软件的调查。 # 展示的技能 * 安全运营中心 (SOC) * 事件响应 * 安全监控 * 钓鱼调查 * SIEM * EDR * 威胁狩猎 * IOC 分析 * 恶意软件分析 * 电子邮件安全 * MITRE ATT&CK * 安全文档 * 证据收集 * 根本原因分析 * 安全架构 * 技术写作 # 工具与技术 * Exabeam * CrowdStrike Falcon * VirusTotal * URLScan * Any.Run * Hybrid Analysis * AbuseIPDB * MXToolbox * Wireshark * AWS Security Services # 学习成果 通过这个项目,我掌握了以下方面的实用知识: * 钓鱼调查 * 事件响应工作流 * 安全文档 * MITRE ATT&CK 映射 * 证据收集 * 安全架构设计 * SOC 分析员流程与程序 # 未来增强计划 * 添加钓鱼检测规则。 * 创建 SIEM 关联用例。 * 添加用于调查的电子邮件样本。 * 构建钓鱼仪表板。 * 开发自动化调查 Playbook。 # 作者 Harsh Agarwal 计算机科学技术学士 (AI & ML) 有志成为 SOC 分析员 | 安全监控 | 事件响应 | SIEM | EDR | AWS Security LinkedIn: https://www.linkedin.com/in/harsh-agarwal-608626243/ GitHub: https://github.com/Harsh741334 # 许可证 本项目仅用于教育和作品集展示目的。
标签:PE 加载器, SOC运营, 安全运营, 安全防御框架, 库, 应急响应, 扫描框架, 文档与SOP, 钓鱼攻击分析, 防御加固