Sujal007-max/SOCProject

GitHub: Sujal007-max/SOCProject

一个模拟网络安全事件响应全流程的 SOC 分析实操项目,帮助学习者通过示例日志练习从检测到关闭的完整事件处置。

Stars: 0 | Forks: 0

# 网络安全事件响应与 SOC 分析项目 本仓库包含了我们为 SOC 分析师模拟项目所做的工作。在此项目中,我们调查并响应了一起模拟的网络安全事件,该事件涉及多次登录失败尝试、终端上的恶意软件警报以及可疑的出站网络流量。 ## 项目概述 我们扮演了一名 SOC 分析师的角色,处理了一起从检测到关闭的活跃事件。目标是在贴近真实的环境中实践完整的事件响应生命周期,并使用了与真实 SOC 团队处理内容相似的示例日志和警报。 ## 事件摘要 - **事件 ID:** IR-2026-0042 - **类型:** 暴力破解登录尝试,随后引发恶意软件感染(具有 C2 通信的 RAT 类行为) - **严重程度:** 高 - **状态:** 已关闭 - 已解决 - **受影响系统:** VPN 网关、财务部门工作站、文件服务器 完整详情可在 `docs/` 下的事件响应报告中查看。 ## 仓库结构 ``` soc-incident-response-project/ ├── docs/ │ └── Incident_Response_Report.docx # Full incident response report ├── logs/ │ ├── vpn_login_logs.csv # Sample VPN authentication log │ ├── edr_alerts.csv # Sample EDR/endpoint alert log │ └── firewall_traffic.csv # Sample outbound traffic log ├── evidence/ │ └── timeline.md # Incident timeline └── README.md ``` ## 执行的任务 1. **事件识别** - 查阅了 SIEM、EDR 和防火墙日志以确定发生了什么 2. **事件分类** - 将该事件归类为暴力破解 + 恶意软件感染 3. **遏制** - 隔离了受影响的终端并封禁了恶意 IP/域名 4. **根除与恢复** - 清除了恶意软件,重建了终端,并从备份中进行了恢复 5. **经验教训** - 确定了缺失 MFA 和密码策略薄弱是根本原因 6. **报告** - 将所有内容记录在正式的事件响应报告中 ## 交付成果 - [事件响应报告](docs/Incident_Response_Report.docx) - [事件时间线](evidence/timeline.md) - 预防行动计划(包含在报告中,第 8 节) ## 涉及工具 SIEM(Splunk 风格的关联规则)、EDR/终端防护、边界防火墙、DNS sinkholing、Active Directory 日志。 ## 注意 这是一个为学习目的而构建的模拟项目。此处使用的所有 IP、用户名、主机名和公司名称均为虚构,仅专为本次练习而创建。
标签:SOC分析, Terraform 安全, 安全事件响应, 安全运营, 库, 应急响应, 扫描框架