josiahdanbinta/SOC-Analyst-Labs-
GitHub: josiahdanbinta/SOC-Analyst-Labs-
面向 SOC 分析师的网络安全实操实验室集合,涵盖 SIEM 部署、检测工程、威胁狩猎和事件响应的完整实践流程。
Stars: 0 | Forks: 0
🛡️ SOC Analyst Labs
概述
本仓库包含针对安全运营中心 (SOC) 分析师的实操实验室,重点涵盖安全监控、威胁检测、事件响应和防御性安全工程。
其目标在于展示在构建安全监控环境、分析威胁、创建检测规则以及记录安全调查方面的实践经验。
📂 项目
1. Wazuh SIEM 部署
文件夹:
Wazuh-SIEM-Deployment
描述
使用 Wazuh 部署和配置安全信息与事件管理 (SIEM) 环境。
展示技能
- SIEM 部署
- 日志收集
- 终端监控
- 安全告警分析
- 威胁检测
- Dashboard 配置
实验室环境
- Wazuh Manager
- Linux Server
- Windows Endpoint
- Sysmon
- Agent 部署
2. 检测工程规则
文件夹:
Detection-Engineering-Rules
描述
开发安全检测规则,用于识别可疑活动和潜在威胁。
展示技能
- Sigma 规则开发
- YARA 规则
- 检测逻辑
- 威胁情报
- 安全事件分析
检测示例
- 可疑的 PowerShell 活动
- 暴力破解检测
- 恶意软件指标
- 未经授权的访问尝试
3. MITRE ATT&CK 威胁狩猎
文件夹:
MITRE-ATT&CK-Threat-Hunting
描述
与 MITRE ATT&CK 技术相对应的威胁狩猎练习。
展示技能
- 威胁狩猎方法论
- 攻击技术映射
- IOC 调查
- 日志调查
- 对手行为分析
涵盖技术
- 初始访问
- 执行
- 持久化
- 权限提升
- 凭据访问
- 防御规避
4. 事件响应报告
文件夹:
Incident-Response-Reports
描述
专业的事件响应文档,涵盖调查工作流和安全分析。
报告包含
- 事件摘要
- 检测方法
- 调查过程
- 证据分析
- 影响评估
- 遏制建议
- 恢复步骤
🧰 使用的工具
- Wazuh
- Wireshark
- Sysmon
- Windows Event Viewer
- Linux 安全工具
- MITRE ATT&CK Framework
- Sigma
- YARA
🎯 技能作品集
本仓库展示了:
✅ SOC 运营
✅ SIEM 管理
✅ 威胁检测
✅ 威胁狩猎
✅ 事件响应
✅ 安全监控
✅ 防御性安全工程
📌 作者
Josiah Danbinta
网络安全分析师 | SOC 分析师 | 道德黑客
GitHub:
https://github.com/josiahdanbinta
标签:Wazuh, 安全运营, 库, 应急响应, 扫描框架