azhar003/soc-ransomware-ir-lab

GitHub: azhar003/soc-ransomware-ir-lab

一个基于 Splunk、Sysmon 和 Atomic Red Team 构建的 SOC 事件响应实验室项目,用于模拟、检测和调查勒索软件攻击并记录完整响应流程。

Stars: 0 | Forks: 0

# SOC 事件响应实验室:勒索软件检测与调查 ## 📌 项目概述 本项目记录了我从零开始构建安全运营中心(SOC)事件响应实验室的历程。 目标是了解安全分析师如何使用行业标准的工具和方法来检测、调查和响应勒索软件攻击。在整个项目中,我将模拟勒索软件相关活动、分析安全日志、创建检测规则、调查安全事件,并记录完整的响应流程。 ## 🎯 项目目标 * 了解勒索软件事件响应的生命周期 * 构建适合我学习环境的 SOC 实验室 * 收集并分析 Windows 安全日志 * 使用 Splunk SPL 编写检测查询 * 调查模拟的勒索软件活动 * 将攻击者行为映射到 MITRE ATT&CK 框架 * 创建专业的事件响应报告 * 在结构化的 GitHub 仓库中记录调查过程 ## 🛠 技术与工具 * Splunk Enterprise * Sysmon * Atomic Red Team * TryHackMe * GitHub * MITRE ATT&CK 框架 * draw.io ## 📂 仓库结构 ``` docs/ detection/ screenshots/ timeline/ resources/ ``` ## 🚀 学习目标 本仓库是我的 SOC 分析师作品集的一部分。目标不仅仅是完成实验,而是深入理解事件响应流程的每一个阶段,并以专业的方式记录调查过程。 ## 📈 项目状态 🟡 进行中 本项目作为我 SOC 分析师学习旅程的一部分,正在逐步开发中。
标签:Atomic Red Team, 勒索软件检测, 安全实验环境, 安全运营中心, 库, 应急响应, 数据泄露检测, 网络映射