ag48665/soc-investigation-lab

GitHub: ag48665/soc-investigation-lab

基于 Windows 遥测和 Sysmon 日志的蓝队应急响应与 SOC 调查实战案例集,涵盖五类典型安全事件的完整调查流程。

Stars: 0 | Forks: 0

# 🛡️ SOC 调查实验室 基于 Windows 遥测、Sysmon 日志和结构化调查流程的一系列真实的蓝队应急响应和 SOC 调查案例。 ## 目标 - 执行真实的 SOC 调查 - 分析失陷指标 (IOC) - 调查 Windows 事件日志和 Sysmon 遥测数据 - 将攻击者行为映射到 MITRE ATT&CK - 发掘检测机会 - 撰写专业的应急响应报告和建议 ## 技术 - Windows 11 - Sysmon - Event Viewer - PowerShell - MITRE ATT&CK - Sigma - KQL - Splunk ## 仓库结构 ``` soc-investigation-lab │ ├── cases │ ├── incident-01-phishing │ ├── incident-02-ransomware │ ├── incident-03-powershell │ ├── incident-04-persistence │ └── incident-05-lolbins │ ├── docs ├── reports └── templates ``` ## 应急响应案例 | 事件 | 主题 | 状态 | |----------|-------------------------------|:------:| | 01 | 钓鱼邮件调查 | ✅ | | 02 | 勒索软件调查 | ✅ | | 03 | 可疑的 PowerShell 活动 | ✅ | | 04 | Windows 注册表持久化 | ✅ | | 05 | LOLBins 滥用调查 | ✅ | ## 展示技能 - 应急响应 - SOC 调查 - Windows 事件分析 - Sysmon 分析 - IOC 分析 - 威胁狩猎 - 检测工程 - MITRE ATT&CK 映射 - 报告撰写 - 根本原因分析 ## 目标 建立一个专业的应急响应作品集,通过使用真实的攻击模拟和记录完善的调查流程,展示在 SOC 调查、Windows 日志分析、威胁狩猎和检测工程方面的实践技能。 ## 👤 作者 **Agata Gabara** 专注于蓝队运营、SOC 调查、检测工程、Windows 安全和威胁狩猎的网络安全爱好者。 - GitHub:https://github.com/ag48665 - LinkedIn:*(可选)*
标签:AI合规, Libemu, 安全运营中心, 库, 应急响应, 知识库安全, 管理员页面发现, 网络映射