azhar003/soc-ransomware-ir-lab
GitHub: azhar003/soc-ransomware-ir-lab
一个基于 Splunk、Sysmon 和 Atomic Red Team 构建的 SOC 事件响应实验室项目,用于模拟、检测和调查勒索软件攻击并记录完整响应流程。
Stars: 0 | Forks: 0
# SOC 事件响应实验室:勒索软件检测与调查
## 📌 项目概述
本项目记录了我从零开始构建安全运营中心(SOC)事件响应实验室的历程。
目标是了解安全分析师如何使用行业标准的工具和方法来检测、调查和响应勒索软件攻击。在整个项目中,我将模拟勒索软件相关活动、分析安全日志、创建检测规则、调查安全事件,并记录完整的响应流程。
## 🎯 项目目标
* 了解勒索软件事件响应的生命周期
* 构建适合我学习环境的 SOC 实验室
* 收集并分析 Windows 安全日志
* 使用 Splunk SPL 编写检测查询
* 调查模拟的勒索软件活动
* 将攻击者行为映射到 MITRE ATT&CK 框架
* 创建专业的事件响应报告
* 在结构化的 GitHub 仓库中记录调查过程
## 🛠 技术与工具
* Splunk Enterprise
* Sysmon
* Atomic Red Team
* TryHackMe
* GitHub
* MITRE ATT&CK 框架
* draw.io
## 📂 仓库结构
```
docs/
detection/
screenshots/
timeline/
resources/
```
## 🚀 学习目标
本仓库是我的 SOC 分析师作品集的一部分。目标不仅仅是完成实验,而是深入理解事件响应流程的每一个阶段,并以专业的方式记录调查过程。
## 📈 项目状态
🟡 进行中
本项目作为我 SOC 分析师学习旅程的一部分,正在逐步开发中。
标签:Atomic Red Team, 勒索软件检测, 安全实验环境, 安全运营中心, 库, 应急响应, 数据泄露检测, 网络映射