josiahdanbinta/SOC-Analyst-Labs-

GitHub: josiahdanbinta/SOC-Analyst-Labs-

面向 SOC 分析师的网络安全实操实验室集合,涵盖 SIEM 部署、检测工程、威胁狩猎和事件响应的完整实践流程。

Stars: 0 | Forks: 0

🛡️ SOC Analyst Labs 概述 本仓库包含针对安全运营中心 (SOC) 分析师的实操实验室,重点涵盖安全监控、威胁检测、事件响应和防御性安全工程。 其目标在于展示在构建安全监控环境、分析威胁、创建检测规则以及记录安全调查方面的实践经验。 📂 项目 1. Wazuh SIEM 部署 文件夹: Wazuh-SIEM-Deployment 描述 使用 Wazuh 部署和配置安全信息与事件管理 (SIEM) 环境。 展示技能 - SIEM 部署 - 日志收集 - 终端监控 - 安全告警分析 - 威胁检测 - Dashboard 配置 实验室环境 - Wazuh Manager - Linux Server - Windows Endpoint - Sysmon - Agent 部署 2. 检测工程规则 文件夹: Detection-Engineering-Rules 描述 开发安全检测规则,用于识别可疑活动和潜在威胁。 展示技能 - Sigma 规则开发 - YARA 规则 - 检测逻辑 - 威胁情报 - 安全事件分析 检测示例 - 可疑的 PowerShell 活动 - 暴力破解检测 - 恶意软件指标 - 未经授权的访问尝试 3. MITRE ATT&CK 威胁狩猎 文件夹: MITRE-ATT&CK-Threat-Hunting 描述 与 MITRE ATT&CK 技术相对应的威胁狩猎练习。 展示技能 - 威胁狩猎方法论 - 攻击技术映射 - IOC 调查 - 日志调查 - 对手行为分析 涵盖技术 - 初始访问 - 执行 - 持久化 - 权限提升 - 凭据访问 - 防御规避 4. 事件响应报告 文件夹: Incident-Response-Reports 描述 专业的事件响应文档,涵盖调查工作流和安全分析。 报告包含 - 事件摘要 - 检测方法 - 调查过程 - 证据分析 - 影响评估 - 遏制建议 - 恢复步骤 🧰 使用的工具 - Wazuh - Wireshark - Sysmon - Windows Event Viewer - Linux 安全工具 - MITRE ATT&CK Framework - Sigma - YARA 🎯 技能作品集 本仓库展示了: ✅ SOC 运营 ✅ SIEM 管理 ✅ 威胁检测 ✅ 威胁狩猎 ✅ 事件响应 ✅ 安全监控 ✅ 防御性安全工程 📌 作者 Josiah Danbinta 网络安全分析师 | SOC 分析师 | 道德黑客 GitHub: https://github.com/josiahdanbinta
标签:Wazuh, 安全运营, 库, 应急响应, 扫描框架