ag48665/soc-investigation-lab
GitHub: ag48665/soc-investigation-lab
基于 Windows 遥测和 Sysmon 日志的蓝队应急响应与 SOC 调查实战案例集,涵盖五类典型安全事件的完整调查流程。
Stars: 0 | Forks: 0
# 🛡️ SOC 调查实验室
基于 Windows 遥测、Sysmon 日志和结构化调查流程的一系列真实的蓝队应急响应和 SOC 调查案例。
## 目标
- 执行真实的 SOC 调查
- 分析失陷指标 (IOC)
- 调查 Windows 事件日志和 Sysmon 遥测数据
- 将攻击者行为映射到 MITRE ATT&CK
- 发掘检测机会
- 撰写专业的应急响应报告和建议
## 技术
- Windows 11
- Sysmon
- Event Viewer
- PowerShell
- MITRE ATT&CK
- Sigma
- KQL
- Splunk
## 仓库结构
```
soc-investigation-lab
│
├── cases
│ ├── incident-01-phishing
│ ├── incident-02-ransomware
│ ├── incident-03-powershell
│ ├── incident-04-persistence
│ └── incident-05-lolbins
│
├── docs
├── reports
└── templates
```
## 应急响应案例
| 事件 | 主题 | 状态 |
|----------|-------------------------------|:------:|
| 01 | 钓鱼邮件调查 | ✅ |
| 02 | 勒索软件调查 | ✅ |
| 03 | 可疑的 PowerShell 活动 | ✅ |
| 04 | Windows 注册表持久化 | ✅ |
| 05 | LOLBins 滥用调查 | ✅ |
## 展示技能
- 应急响应
- SOC 调查
- Windows 事件分析
- Sysmon 分析
- IOC 分析
- 威胁狩猎
- 检测工程
- MITRE ATT&CK 映射
- 报告撰写
- 根本原因分析
## 目标
建立一个专业的应急响应作品集,通过使用真实的攻击模拟和记录完善的调查流程,展示在 SOC 调查、Windows 日志分析、威胁狩猎和检测工程方面的实践技能。
## 👤 作者
**Agata Gabara**
专注于蓝队运营、SOC 调查、检测工程、Windows 安全和威胁狩猎的网络安全爱好者。
- GitHub:https://github.com/ag48665
- LinkedIn:*(可选)*
标签:AI合规, Libemu, 安全运营中心, 库, 应急响应, 知识库安全, 管理员页面发现, 网络映射