Sujal007-max/SOCProject
GitHub: Sujal007-max/SOCProject
一个模拟网络安全事件响应全流程的 SOC 分析实操项目,帮助学习者通过示例日志练习从检测到关闭的完整事件处置。
Stars: 0 | Forks: 0
# 网络安全事件响应与 SOC 分析项目
本仓库包含了我们为 SOC 分析师模拟项目所做的工作。在此项目中,我们调查并响应了一起模拟的网络安全事件,该事件涉及多次登录失败尝试、终端上的恶意软件警报以及可疑的出站网络流量。
## 项目概述
我们扮演了一名 SOC 分析师的角色,处理了一起从检测到关闭的活跃事件。目标是在贴近真实的环境中实践完整的事件响应生命周期,并使用了与真实 SOC 团队处理内容相似的示例日志和警报。
## 事件摘要
- **事件 ID:** IR-2026-0042
- **类型:** 暴力破解登录尝试,随后引发恶意软件感染(具有 C2 通信的 RAT 类行为)
- **严重程度:** 高
- **状态:** 已关闭 - 已解决
- **受影响系统:** VPN 网关、财务部门工作站、文件服务器
完整详情可在 `docs/` 下的事件响应报告中查看。
## 仓库结构
```
soc-incident-response-project/
├── docs/
│ └── Incident_Response_Report.docx # Full incident response report
├── logs/
│ ├── vpn_login_logs.csv # Sample VPN authentication log
│ ├── edr_alerts.csv # Sample EDR/endpoint alert log
│ └── firewall_traffic.csv # Sample outbound traffic log
├── evidence/
│ └── timeline.md # Incident timeline
└── README.md
```
## 执行的任务
1. **事件识别** - 查阅了 SIEM、EDR 和防火墙日志以确定发生了什么
2. **事件分类** - 将该事件归类为暴力破解 + 恶意软件感染
3. **遏制** - 隔离了受影响的终端并封禁了恶意 IP/域名
4. **根除与恢复** - 清除了恶意软件,重建了终端,并从备份中进行了恢复
5. **经验教训** - 确定了缺失 MFA 和密码策略薄弱是根本原因
6. **报告** - 将所有内容记录在正式的事件响应报告中
## 交付成果
- [事件响应报告](docs/Incident_Response_Report.docx)
- [事件时间线](evidence/timeline.md)
- 预防行动计划(包含在报告中,第 8 节)
## 涉及工具
SIEM(Splunk 风格的关联规则)、EDR/终端防护、边界防火墙、DNS sinkholing、Active Directory 日志。
## 注意
这是一个为学习目的而构建的模拟项目。此处使用的所有 IP、用户名、主机名和公司名称均为虚构,仅专为本次练习而创建。
标签:SOC分析, Terraform 安全, 安全事件响应, 安全运营, 库, 应急响应, 扫描框架