Ctum0/SOC-Investigation-Portfolio
GitHub: Ctum0/SOC-Investigation-Portfolio
该仓库是一个基于真实攻击场景的SOC调查作品集,展示了从证据收集到MITRE ATT&CK映射的完整事件响应流程和专业报告能力。
Stars: 0 | Forks: 0
# SOC 调查作品集
## 关于
本仓库展示了基于真实攻击场景的实战 SOC 调查。每项调查都遵循与安全运营中心 (SOC) 分析师在事件响应期间所用方法相似的结构化流程。
其目的是展示调查能力——而不仅仅是工具使用。
每个案例都侧重于收集证据、验证指标、重建攻击时间线、将攻击者行为映射到 MITRE ATT&CK 框架,并生成专业的调查报告。
## 展示技能
- 事件调查
- 网络流量分析
- 网络取证
- 威胁狩猎
- IOC 提取与验证
- 威胁情报
- 时间线重建
- MITRE ATT&CK 映射
- 安全报告
- 根本原因分析
## 调查方法论
每项调查都遵循相同的结构化工作流:
1. 初步评估
2. 证据收集
3. IOC 提取
4. 威胁情报富化
5. 时间线重建
6. MITRE ATT&CK 映射
7. 调查报告
这种标准化的方法论确保了每项调查都是可重复的、文档齐全的且由证据驱动的。
## 调查路线图
| 状态 | 调查 | 类别 |
|---------|--------------|----------|
| ⏳ | 恶意软件感染调查 | 网络 |
| ⏳ | 身份验证与凭据滥用 | 网络 |
| ⏳ | 数据外发调查 | 网络 |
| ⏳ | 钓鱼调查 | 电子邮件 |
| ⏳ | Windows 入侵调查 | 端点 |
| ⏳ | Linux 入侵调查 | 端点 |
| ⏳ | 完整攻击链调查 | SOC 顶点项目 |
## 工具
本作品集使用的行业标准工具包括:
- Wireshark
- NetworkMiner
- VirusTotal
- AbuseIPDB
- WHOIS
- CyberChef
- MITRE ATT&CK
- Any.Run(视情况而定)
## 收集的证据
根据调查的不同,证据可能包括:
- 网络捕获 (PCAP)
- 网络会话
- 协议分析
- IP 地址
- 域名
- URL
- 文件哈希
- 凭据
- 电子邮件标头
- 系统日志
- 时间线痕迹
## 调查交付物
每项已完成的调查都包含:
- 执行摘要
- 调查目标
- 收集的证据
- 技术发现
- IOC 表格
- 时间线重建
- MITRE ATT&CK 映射
- 建议
- 结论
每项调查中均包含了支持性的屏幕截图。
## 仓库结构
```
SOC-Investigation-Portfolio/
│
├── methodology/
├── network-investigations/
├── email-investigations/
├── endpoint-investigations/
└── attack-chain-investigations/
```
## 免责声明
所有调查均使用公开可用的数据集、实验室环境或故意设置了漏洞的系统进行,仅供教育和作品集展示之用。未对生产系统进行过任何未经授权的测试。
## 作者
**Ctum**
网络安全专业本科生 | 有志成为 SOC 分析师 | 事件响应与威胁检测爱好者
标签:ATT&CK映射, SOC分析, 事件调查, 库, 应急响应, 数字取证, 网络流量分析, 自动化脚本, 速率限制处理